Стандарт (Payment Card Industry Data Security Standard) разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council). Он определяет конкретный перечень требований к обеспечению безопасности данных платежных карт, затрагивающих как организационную, так и техническую сторону компаний.
Популярные платежные системы Visa и MasterCard стали требовать от поставщиков услуг и различных торговых предприятий, работающих с данными платежных карт, соответствия PCI DSS. Поэтому вопрос соблюдения правил, утвержденных этим документом, стало важным не только для крупной организации, но и для небольших торговых предприятий.
Стандарт PCI DSS определяет требования к предприятиям, информационные системы которых хранят, обрабатывают и/или передают данные платежных карт. Также они определяются и для предприятий, которые способны
Все организации, вовлеченные в процесс обработки платежных карт, должны соответствовать предписаниям, содержащимся в этом документе. Компании, находящиеся на территории Российской Федерации — не исключение.
Чтобы понять, должна ли ваша организация соответствовать требованиям стандарта, ответьте на два простых вопроса:
Если хоть на один из вопросов есть положительный ответ, значит, компания должна соответствовать правилам, установленным этим документом.
Перечислять PCI DSS требования можно долго,
Конечно, все 440 требований перечислять не станем. В данной статье это не нужно. При желании информацию вы найдете в Интернете без особых проблем.
Сертификация PCI DSS может осуществляться тремя способами:
Внешний аудит проводится аудиторской компанией, которая должна быть сертифицирована Советом PCI SSС. В ходе проверки собираются доказательства выполнений всех предписаний. Результаты аудита сохраняются на определенный период (длительность зависит от уровня организации), после чего нужно проводить внешний аудит заново.
Внутренний аудит ISA выполняется внутренним специалистом, который прошел обучение и сертификацию по программе Совета PCI SSC.
Сертификация PCI DSS с помощью самооценки (SAQ) выполняется компанией самостоятельно — с помощью заполнения листа самооценки. Этот способ аудита не требует сбора свидетельств выполнения стандартизированных правил.
Чтобы понять, какой тип аудита нужно проводить, нужно посмотреть на разновидность компании и оценить численность годовых транзакций.
Так, по классификации Visa, если
Все PCI DSS требования соблюдать сложно, плюс это потребует сил, времени и определенных вложений. Гораздо проще арендовать облако, соответствующее принятому постановлению.
Облако по стандарту PCI DSS — это специальная услуга, обеспечивающая безопасную работу с платежными картами для организаций, разместивших свою инфраструктуру на стороне сертифицированного облачного провайдера. Сертификат выглядит, как показано на изображении ниже:
Выбрав такую услугу, предприятие автоматически закрывает существенную долю предписаний PCI DSS и перекладывает заботу о сертификации на плечи провайдера. Провайдер берет на себя часть обязанностей, к примеру, управление действующими операционными системами и физическую защиту устанавливаемых серверов.
Использование сертифицированного облака значительно упрощает жизнь организации. Раньше организациям приходилось разворачивать собственную информационную инфраструктуру, строить собственное серверное помещение, выполнять все предписания собственноручно. Сейчас можно часть требований передать сертифицированным провайдерам. Это поможет вам повысить уровень защищенности среды обработки платежных данных, а также максимально уменьшить риски финансовых потерь от вероятных неприятных инцидентов информационной безопасности.
Дополнительную информацию об этой услуге можно получить по адресу: https://www.xelent.ru/news/tsod-sdn-sertifitsirovan-po-