PCI DSS
PCI DSS — это набор стандартов безопасности данных индустрии платёжных карт (Payment Card Industry Data Security Standard), разработанный Советом по стандартам безопасности индустрии платёжных карт (PCI SSC). Стандарт представляет собой свод обязательных требований, направленных на защиту данных держателей платёжных карт (PAN — Primary Account Number, номер счёта) при их обработке, хранении и передаче. PCI DSS применяется ко всем организациям, которые принимают, обрабатывают, хранят или передают данные платёжных карт международных платёжных систем (Visa, Mastercard, American Express, JCB, Discover), вне зависимости от размера бизнеса и юрисдикции.
История
Разработка PCI DSS началась в 2004 году как ответ на рост числа утечек данных держателей платёжных карт. До этого каждая крупная платёжная система (Visa, Mastercard) имела собственные программы безопасности (например, Visa AIS и Mastercard SDP), что создавало путаницу для участников рынка. В 2004 году пять ведущих платёжных систем — Visa, Mastercard, American Express, JCB и Discover — учредили единый Совет по стандартам безопасности индустрии платёжных карт (PCI SSC). Первая версия стандарта (v1.0) была опубликована в декабре 2004 года и вступила в силу в июне 2005 года.
Последующие версии:
- v1.1 (сентябрь 2006) — уточнения требований к шифрованию и тестированию.
- v1.2 (октябрь 2008) — добавлены требования к защите беспроводных сетей.
- v2.0 (октябрь 2010) — упрощение требований для малого бизнеса, введение понятия «общая среда».
- v3.0 (ноябрь 2013) — акцент на непрерывный мониторинг и оценку рисков.
- v3.1 (апрель 2015) — запрет на использование SSL и ранних версий TLS.
- v3.2 (апрель 2016) — усиление требований к многофакторной аутентификации.
- v3.2.1 (май 2018) — переходный этап к следующей версии.
- v4.0 (март 2022) — текущая версия, вступившая в силу с 31 марта 2024 года. Версия 4.0 вводит концепцию «гибких требований» (customized approach) и усиление контроля за облачными сервисами.
Структура и требования
PCI DSS состоит из 12 основных требований, сгруппированных в 6 логических блоков (целей). Каждое требование содержит детальные подтребования и тестовые процедуры.
Цель 1: Построение и поддержание безопасной сети
- Установка и поддержка конфигурации межсетевых экранов для защиты данных держателей карт.
- Запрет использования стандартных паролей и настроек производителя (например, смена заводских паролей на маршрутизаторах).
Цель 2: Защита данных держателей карт
- Защита хранимых данных держателей карт (шифрование PAN, маскирование, ограничение хранения).
- Шифрование передачи данных держателей карт по открытым сетям (использование TLS 1.2/1.3, IPSec).
Цель 3: Поддержание программы управления уязвимостями
- Использование и регулярное обновление антивирусного ПО (на всех системах, подверженных вирусам).
- Разработка и поддержка безопасных систем и приложений (установка патчей, тестирование кода).
Цель 4: Внедрение строгих мер контроля доступа
- Ограничение доступа к данным держателей карт по принципу служебной необходимости.
- Идентификация и аутентификация доступа к системным компонентам (уникальные ID, многофакторная аутентификация для удалённого доступа).
- Ограничение физического доступа к данным держателей карт (контроль входа в дата-центры, видеонаблюдение).
Цель 5: Регулярный мониторинг и тестирование сетей
- Отслеживание и мониторинг всего доступа к сетевым ресурсам и данным держателей карт (логирование, защита журналов).
- Регулярное тестирование систем и процессов безопасности (сканирование уязвимостей, пентесты, тесты на проникновение).
Цель 6: Поддержание политики информационной безопасности
- Поддержание политики, адресующей вопросы информационной безопасности (документирование процедур, обучение персонала, план реагирования на инциденты).
Классификация участников и уровни соответствия
Организации, подпадающие под PCI DSS, делятся на четыре уровня в зависимости от годового объёма транзакций по платёжным картам:
| Уровень | Объём транзакций (в год) | Требования к аудиту |
|---|---|---|
| 1 | Более 6 млн транзакций | Обязательный ежегодный аудит (Report on Compliance, ROC) и квартальное сканирование уязвимостей (ASV). |
| 2 | От 1 до 6 млн транзакций | Допускается заполнение Самооценки (Self-Assessment Questionnaire, SAQ) и квартальное сканирование. |
| 3 | От 20 тыс. до 1 млн транзакций (электронная коммерция) | SAQ и квартальное сканирование. |
| 4 | Менее 20 тыс. транзакций электронной коммерции или до 1 млн офлайн-транзакций | SAQ и квартальное сканирование (требования могут варьироваться в зависимости от платёжной системы). |
Процедура оценки соответствия
Оценка соответствия PCI DSS включает несколько этапов:
- Определение объёма (scoping) — выявление всех систем, сетей и процессов, которые обрабатывают, хранят или передают данные держателей карт. Среда обработки данных держателей карт (CDE — Cardholder Data Environment) должна быть чётко изолирована.
- Выбор метода оценки — для уровня 1 — аудит сертифицированным аудитором (QSA — Qualified Security Assessor); для уровней 2–4 — заполнение анкеты самооценки (SAQ) или аудит.
- Проведение тестов — проверка выполнения каждого требования, включая интервью с персоналом, осмотр документации, техническое тестирование.
- Составление отчёта — Report on Compliance (ROC) для уровня 1 или SAQ для остальных.
- Подтверждение — подписание Attestation of Compliance (AoC) и отправка в платёжные системы.
Версия 4.0: ключевые изменения
Версия 4.0, опубликованная в марте 2022 года, внесла ряд существенных изменений:
- Гибкий подход (customized approach) — организация может разработать собственные методы выполнения требований при условии документального обоснования их эквивалентности стандартным. Альтернатива — традиционный «определённый подход» (defined approach).
- Усиление требований к облачным сервисам — чёткое разделение ответственности между провайдером и клиентом, обязательное использование шифрования.
- Многофакторная аутентификация — теперь обязательна для любого доступа к CDE, а не только для удалённого.
- Управление рисками — введены требования к формальной программе оценки рисков.
- Автоматизация — поощрение использования инструментов автоматического сканирования и мониторинга.
- Сроки внедрения — часть требований стала обязательной с 31 марта 2024 года, часть (более сложные) — с 31 марта 2025 года.
Критика и ограничения
Несмотря на широкое распространение, PCI DSS подвергается критике по нескольким направлениям:
- Формальный подход — требования часто воспринимаются как «галочка» (checklist compliance), а не как реальная защита. Организации могут формально выполнять пункты, но не устранять коренные уязвимости.
- Высокая стоимость — для малого бизнеса затраты на аудит, сканирование и внедрение могут быть непропорционально высокими. По оценкам, годовые расходы на соответствие PCI DSS для малого предприятия могут составлять от 10 000 до 50 000 долларов США.
- Недостаточная гибкость — до версии 4.0 стандарт был жёстким, не учитывающим специфику разных бизнес-моделей (например, SaaS-провайдеров или финтех-стартапов).
- Отсутствие обязательности в ряде юрисдикций — в отличие от GDPR или 152-ФЗ, PCI DSS не является законом, а лишь контрактным требованием платёжных систем. В России, например, соответствие PCI DSS не является обязательным по закону, но требуется для работы с международными платёжными системами. С 2022 года, после ухода Visa и Mastercard из России, актуальность стандарта для российских компаний снизилась, однако он продолжает применяться для обработки транзакций через российские платёжные системы (например, «Мир») и для международных расчётов.
- Проблемы с облачными вычислениями — до версии 4.0 требования к облачным средам были размыты, что создавало риски.
Влияние на индустрию
PCI DSS стал де-факто стандартом безопасности для платёжной индустрии. Его внедрение привело к значительному снижению числа утечек данных держателей карт в компаниях, прошедших сертификацию. По данным PCI SSC, за первые 10 лет действия стандарта количество утечек в сертифицированных организациях сократилось на 80%. Однако стандарт не панацея: крупные утечки (например, в Target в 2013 году, где были скомпрометированы 40 млн карт) происходили в компаниях, формально соответствовавших PCI DSS. Это привело к ужесточению требований в версии 3.0.
Источники
- Payment Card Industry Data Security Standard (PCI DSS) v4.0. PCI Security Standards Council, 2022.
- PCI DSS Quick Reference Guide. PCI Security Standards Council, 2022.
- «PCI Compliance: Understand and Implement Effective Data Security» — Branden R. Williams, James Adamson, 2019.
- «The PCI DSS: A Pocket Guide» — Alan Calder, 2020.
- Отчёты PCI SSC о состоянии безопасности платёжных карт (2010–2023).
- Материалы Банка России о стандартах безопасности платёжных систем (2022–2024).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →