Открыть сервис

PCI DSS

PCI DSS — это набор стандартов безопасности данных индустрии платёжных карт (Payment Card Industry Data Security Standard), разработанный Советом по стандартам безопасности индустрии платёжных карт (PCI SSC). Стандарт представляет собой свод обязательных требований, направленных на защиту данных держателей платёжных карт (PAN — Primary Account Number, номер счёта) при их обработке, хранении и передаче. PCI DSS применяется ко всем организациям, которые принимают, обрабатывают, хранят или передают данные платёжных карт международных платёжных систем (Visa, Mastercard, American Express, JCB, Discover), вне зависимости от размера бизнеса и юрисдикции.

История

Разработка PCI DSS началась в 2004 году как ответ на рост числа утечек данных держателей платёжных карт. До этого каждая крупная платёжная система (Visa, Mastercard) имела собственные программы безопасности (например, Visa AIS и Mastercard SDP), что создавало путаницу для участников рынка. В 2004 году пять ведущих платёжных систем — Visa, Mastercard, American Express, JCB и Discover — учредили единый Совет по стандартам безопасности индустрии платёжных карт (PCI SSC). Первая версия стандарта (v1.0) была опубликована в декабре 2004 года и вступила в силу в июне 2005 года.

Последующие версии:

Структура и требования

PCI DSS состоит из 12 основных требований, сгруппированных в 6 логических блоков (целей). Каждое требование содержит детальные подтребования и тестовые процедуры.

Цель 1: Построение и поддержание безопасной сети

  1. Установка и поддержка конфигурации межсетевых экранов для защиты данных держателей карт.
  2. Запрет использования стандартных паролей и настроек производителя (например, смена заводских паролей на маршрутизаторах).

Цель 2: Защита данных держателей карт

  1. Защита хранимых данных держателей карт (шифрование PAN, маскирование, ограничение хранения).
  2. Шифрование передачи данных держателей карт по открытым сетям (использование TLS 1.2/1.3, IPSec).

Цель 3: Поддержание программы управления уязвимостями

  1. Использование и регулярное обновление антивирусного ПО (на всех системах, подверженных вирусам).
  2. Разработка и поддержка безопасных систем и приложений (установка патчей, тестирование кода).

Цель 4: Внедрение строгих мер контроля доступа

  1. Ограничение доступа к данным держателей карт по принципу служебной необходимости.
  2. Идентификация и аутентификация доступа к системным компонентам (уникальные ID, многофакторная аутентификация для удалённого доступа).
  3. Ограничение физического доступа к данным держателей карт (контроль входа в дата-центры, видеонаблюдение).

Цель 5: Регулярный мониторинг и тестирование сетей

  1. Отслеживание и мониторинг всего доступа к сетевым ресурсам и данным держателей карт (логирование, защита журналов).
  2. Регулярное тестирование систем и процессов безопасности (сканирование уязвимостей, пентесты, тесты на проникновение).

Цель 6: Поддержание политики информационной безопасности

  1. Поддержание политики, адресующей вопросы информационной безопасности (документирование процедур, обучение персонала, план реагирования на инциденты).

Классификация участников и уровни соответствия

Организации, подпадающие под PCI DSS, делятся на четыре уровня в зависимости от годового объёма транзакций по платёжным картам:

УровеньОбъём транзакций (в год)Требования к аудиту
1Более 6 млн транзакцийОбязательный ежегодный аудит (Report on Compliance, ROC) и квартальное сканирование уязвимостей (ASV).
2От 1 до 6 млн транзакцийДопускается заполнение Самооценки (Self-Assessment Questionnaire, SAQ) и квартальное сканирование.
3От 20 тыс. до 1 млн транзакций (электронная коммерция)SAQ и квартальное сканирование.
4Менее 20 тыс. транзакций электронной коммерции или до 1 млн офлайн-транзакцийSAQ и квартальное сканирование (требования могут варьироваться в зависимости от платёжной системы).

Процедура оценки соответствия

Оценка соответствия PCI DSS включает несколько этапов:

  1. Определение объёма (scoping) — выявление всех систем, сетей и процессов, которые обрабатывают, хранят или передают данные держателей карт. Среда обработки данных держателей карт (CDE — Cardholder Data Environment) должна быть чётко изолирована.
  2. Выбор метода оценки — для уровня 1 — аудит сертифицированным аудитором (QSA — Qualified Security Assessor); для уровней 2–4 — заполнение анкеты самооценки (SAQ) или аудит.
  3. Проведение тестов — проверка выполнения каждого требования, включая интервью с персоналом, осмотр документации, техническое тестирование.
  4. Составление отчёта — Report on Compliance (ROC) для уровня 1 или SAQ для остальных.
  5. Подтверждение — подписание Attestation of Compliance (AoC) и отправка в платёжные системы.

Версия 4.0: ключевые изменения

Версия 4.0, опубликованная в марте 2022 года, внесла ряд существенных изменений:

Критика и ограничения

Несмотря на широкое распространение, PCI DSS подвергается критике по нескольким направлениям:

Влияние на индустрию

PCI DSS стал де-факто стандартом безопасности для платёжной индустрии. Его внедрение привело к значительному снижению числа утечек данных держателей карт в компаниях, прошедших сертификацию. По данным PCI SSC, за первые 10 лет действия стандарта количество утечек в сертифицированных организациях сократилось на 80%. Однако стандарт не панацея: крупные утечки (например, в Target в 2013 году, где были скомпрометированы 40 млн карт) происходили в компаниях, формально соответствовавших PCI DSS. Это привело к ужесточению требований в версии 3.0.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →