PCI DSS Level 1
PCI DSS Level 1 — это наивысший уровень классификации в рамках Стандарта безопасности данных индустрии платёжных карт (Payment Card Industry Data Security Standard, PCI DSS), присваиваемый организациям, обрабатывающим наибольшие объёмы транзакций по картам международных платёжных систем (Visa, Mastercard, American Express, JCB, Discover). Данный уровень требует прохождения наиболее строгих процедур подтверждения соответствия, включая обязательный ежегодный аудит со стороны квалифицированного аудитора безопасности (QSA) и ежеквартальное сканирование сетей авторизованным поставщиком услуг (ASV).
Классификация уровней PCI DSS
Система уровней PCI DSS была разработана платёжными системами для дифференциации требований к безопасности в зависимости от масштаба деятельности организации. Основным критерием является количество транзакций, обрабатываемых в год. Для каждой платёжной системы существуют незначительные отличия в пороговых значениях, однако общая структура выглядит следующим образом:
- Уровень 1 (Level 1): Организации, обрабатывающие более 6 миллионов транзакций по картам Visa в год. Для Mastercard порог составляет также 6 миллионов транзакций. Для American Express — более 2,5 миллионов транзакций. Этот уровень также автоматически присваивается организациям, у которых произошла утечка данных или которые признаны платёжной системой как требующие повышенного контроля.
- Уровень 2 (Level 2): Организации, обрабатывающие от 1 до 6 миллионов транзакций по картам Visa в год.
- Уровень 3 (Level 3): Организации, обрабатывающие от 20 000 до 1 миллиона транзакций по картам Visa в год (как правило, для электронной коммерции).
- Уровень 4 (Level 4): Организации, обрабатывающие менее 20 000 транзакций по картам Visa в год (для электронной коммерции) или менее 1 миллиона транзакций в год для физических точек продаж.
Таким образом, PCI DSS Level 1 представляет собой категорию для крупнейших участников платёжной экосистемы: международных банков-эквайеров, крупных интернет-магазинов (маркетплейсов), процессинговых центров и других организаций, ежегодно обрабатывающих миллионы операций с платёжными картами.
Требования к подтверждению соответствия для Level 1
Организации, отнесённые к первому уровню, обязаны выполнять наиболее полный и дорогостоящий набор процедур по подтверждению соответствия стандарту PCI DSS. Основные требования включают:
Ежегодный аудит на месте (On-site Assessment)
Обязательным элементом для уровня 1 является проведение ежегодного аудита силами Квалифицированного аудитора безопасности (Qualified Security Assessor, QSA). Аудитор проверяет соответствие организации всем 12 группам требований PCI DSS (их насчитывается более 250 контрольных пунктов). Результатом аудита является отчёт о соответствии (Report on Compliance, ROC), который подписывается QSA и направляется в платёжную систему. В отличие от уровней 2-4, где может быть допустима самостоятельная оценка (Self-Assessment Questionnaire, SAQ), для уровня 1 требуется именно внешний аудит.
Ежеквартальное сканирование сети
Организации уровня 1 обязаны ежеквартально проводить сканирование своих внешних IP-адресов и сетевой инфраструктуры на предмет уязвимостей. Это сканирование должно выполняться Авторизованным поставщиком услуг по сканированию (Approved Scanning Vendor, ASV), аккредитованным Советом по стандартам безопасности индустрии платёжных карт (PCI SSC). Результаты сканирования (Pass/Fail) также предоставляются в платёжную систему.
Поддержание документации
Организация должна вести и актуализировать обширный пакет документов, включающий:
- Политику безопасности информации.
- Описание архитектуры сети и потоков данных платёжных карт.
- Процедуры управления изменениями.
- Планы реагирования на инциденты.
- Документы об обучении персонала.
Соблюдение требований к шифрованию и защите данных
Для уровня 1 критически важно соблюдение требований по защите данных держателей карт (CHD) и конфиденциальной аутентификационной информации (SAD). Обязательными являются:
- Шифрование PAN (номера карты) при хранении и передаче по открытым сетям.
- Запрет на хранение CVV2/CVC2, PIN-кодов и полных данных магнитной полосы.
- Использование токенизации или других методов маскирования данных.
Процесс сертификации
Сертификация на соответствие PCI DSS Level 1 не является разовым событием. Это непрерывный циклический процесс, который включает следующие этапы:
- Определение области применения (Scoping): Организация определяет все системы, процессы и люди, которые взаимодействуют с данными платёжных карт. Чем точнее определены границы, тем меньше затрат на аудит.
- Оценка текущего состояния (Gap Analysis): Проводится внутренняя или внешняя оценка для выявления несоответствий требованиям PCI DSS.
- Устранение несоответствий (Remediation): Внедрение необходимых технических и организационных мер: установка межсетевых экранов, настройка систем обнаружения вторжений (IDS/IPS), внедрение контроля доступа, усиление политик паролей.
- Аудит (Assessment): QSA проводит выездную проверку, изучает документацию, интервьюирует персонал, тестирует систему. По результатам составляется ROC.
- Подтверждение (Attestation of Compliance, AoC): После успешного завершения аудита QSA и руководство организации подписывают Сертификат соответствия (AoC), который является официальным документом, подтверждающим статус Level 1.
- Подача отчёта: ROC и AoC передаются в платёжную систему (например, Visa через программу Visa Global Registry of Service Providers).
Последствия несоответствия
Несоблюдение требований PCI DSS для организаций уровня 1 влечёт серьёзные финансовые и репутационные риски:
- Штрафы: Платёжные системы могут налагать ежемесячные штрафы за несоответствие, которые могут достигать десятков и сотен тысяч долларов в месяц.
- Повышенные комиссии: Банк-эквайер может взимать повышенную комиссию за обработку транзакций (non-compliance fee).
- Приостановка обработки: В случае серьёзных нарушений или утечки данных платёжная система может потребовать от банка-эквайера приостановить обработку транзакций для данной организации, что фактически означает остановку бизнеса.
- Обязательный судебно-медицинский анализ (Forensic Investigation): При утечке данных организация обязана оплатить расследование со стороны аккредитованной компании (PFI — PCI Forensic Investigator).
- Репутационный ущерб: Утечка данных держателей карт подрывает доверие клиентов и партнёров.
Особенности для российских организаций
В связи с изменениями в законодательстве Российской Федерации и уходом международных платёжных систем Visa и Mastercard с российского рынка в 2022 году, процедура сертификации PCI DSS Level 1 для российских компаний претерпела изменения. Прямое прохождение аудита у западных QSA стало затруднительным. Однако стандарт PCI DSS остаётся де-факто отраслевым стандартом безопасности для обработки карточных данных, в том числе карт «Мир», Visa и Mastercard, выпущенных российскими банками и работающих через Национальную систему платёжных карт (НСПК). Российские организации продолжают проходить аудит у российских QSA, аккредитованных PCI SSC до 2022 года, или используют альтернативные методы подтверждения соответствия, признаваемые НСПК и Банком России. Требования к защите данных держателей карт остаются обязательными в рамках нормативных актов ЦБ РФ (например, Положение 683-П).
Источники
- Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures, Version 4.0. PCI Security Standards Council, 2022.
- Visa Core Rules and Visa Product and Service Rules. Visa International, актуальная редакция.
- Mastercard Rules. Mastercard Worldwide, актуальная редакция.
- Положение Банка России от 4 июня 2020 года № 683-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →