Открыть сервис

Совет по стандартам безопасности индустрии платёжных карт

Совет по стандартам безопасности индустрии платёжных карт (англ. Payment Card Industry Security Standards Council, PCI SSC) — глобальная отраслевая организация, основанная в 2006 году ведущими платёжными системами. Основной целью Совета является разработка, управление и продвижение единых стандартов безопасности для защиты данных держателей платёжных карт при их обработке, хранении и передаче. Совет не является государственным регулирующим органом, а представляет собой консорциум, созданный для унификации требований к информационной безопасности участников платёжной индустрии.

История

Предпосылкой к созданию PCI SSC стала разрозненность требований безопасности, которые предъявляли отдельные платёжные системы (Visa, Mastercard, American Express, Discover Financial Services, JCB International) к своим участникам — банкам, процессинговым центрам, торгово-сервисным предприятиям (ТСП). До 2004 года каждая система разрабатывала собственные программы защиты данных (например, Visa Cardholder Information Security Program, Mastercard Site Data Protection). Это создавало путаницу и дополнительные издержки для компаний, работающих одновременно с несколькими платёжными системами.

В 2004–2005 годах пять крупнейших платёжных брендов (Visa Inc., Mastercard Worldwide, American Express, Discover Financial Services, JCB Co., Ltd.) согласовали единую спецификацию — Standard of Payment Card Industry Data Security Standard (PCI DSS), а в 2006 году официально учредили Payment Card Industry Security Standards Council (PCI SSC) для управления этим стандартом. Штаб-квартира Совета расположена в Уэйкфилде, штат Массачусетс, США.

Первая версия PCI DSS была опубликована в декабре 2004 года. С тех пор стандарт неоднократно обновлялся: версия 2.0 вышла в 2010 году, 3.0 — в 2013-м, 3.2 — в 2016-м, 3.2.1 — в 2018-м, 4.0 — в 2022 году (с переходным периодом до марта 2024 года, когда версия 3.2.1 была выведена из эксплуатации).

Состав и управление

Совет по стандартам безопасности индустрии платёжных карт не является членской организацией с открытым доступом. Его высший орган — Управляющий совет (Executive Committee), в состав которого входят представители пяти компаний-основателей (по одному от каждой). Они принимают стратегические решения и утверждают изменения в стандартах.

Оперативное управление осуществляет штат сотрудников PCI SSC (около 80 человек) и несколько рабочих групп, в которые входят эксперты от банков, процессинговых компаний, вендоров решений безопасности, аудиторских фирм. Любая заинтересованная организация может стать «Участником программы» (Participating Organization), что даёт право голоса в процессе обсуждения изменений стандартов, доступа к закрытым документам и участия в ежегодных конференциях.

Основные стандарты

Совет разрабатывает и поддерживает несколько семейств стандартов, наиболее известным из которых является PCI DSS.

PCI DSS (Payment Card Industry Data Security Standard)

Основной стандарт, обязательный для всех организаций, которые хранят, обрабатывают или передают данные держателей карт. Состоит из 12 общих требований, сгруппированных в шесть целей:

  1. Построение и поддержание безопасной сети (установка межсетевых экранов, запрет поставщиками паролей по умолчанию).
  2. Защита данных держателей карт (шифрование при хранении и передаче).
  3. Поддержка программы управления уязвимостями (защита от вредоносного ПО, регулярное обновление ПО).
  4. Внедрение строгих мер контроля доступа (ограничение доступа к данным по принципу необходимости, уникальные идентификаторы, физическая безопасность).
  5. Регулярный мониторинг и тестирование сетей (журналирование, сканирование уязвимостей, тесты на проникновение).
  6. Поддержка политики информационной безопасности (документирование процедур, обучение персонала).

Каждое требование детализировано суб-требованиями (в версии 4.0 их около 400). Для небольших организаций предусмотрена упрощённая анкета самооценки (Self-Assessment Questionnaire, SAQ), для крупных — обязательный аудит с привлечением сертифицированного аудитора (Qualified Security Assessor, QSA) или внутреннего аудитора (Internal Security Assessor, ISA).

PA-DSS (Payment Application Data Security Standard)

Стандарт для разработчиков платёжных приложений (кассовых программ, платёжных терминалов, программ лояльности, которые хранят или обрабатывают данные карт). Заменён на PCI Secure Software Standard в 2022 году.

PTS (PIN Transaction Security)

Стандарт для физических устройств (пин-пады, POS-терминалы, банкоматы), обеспечивающий защиту ввода PIN-кода и безопасную загрузку ключей шифрования.

TSP (Token Service Provider)

Стандарт для провайдеров, предоставляющих услуги токенизации — замены PAN (Primary Account Number, номера карты) на уникальный токен, который невозможно использовать для проведения платежа за пределами конкретного сервиса.

PCI 3DS (3-D Secure)

Стандарт для провайдеров услуг 3-D Secure (протокол аутентификации держателя карты при онлайн-платежах).

Процесс сертификации и аудит

Соответствие стандартам PCI SSC подтверждается одним из трёх способов:

  1. Отчёт о соответствии (Report on Compliance, ROC) — для крупных эмитентов, эквайеров, процессинговых центров, международных ТСП (обрабатывающих более 1 млн операций год). Выполняется QSA.
  2. Анкета самооценки (SAQ) — для небольших и средних ТСП. Заполняется самой организацией, может быть проверена в рамках отдельного сканирования сети (Approved Scanning Vendor, ASV).
  3. Заявление о соответствии (Attestation of Compliance, AoC) — итоговый документ, подписываемый либо внешним аудитором (ROC), либо руководством организации (SAQ).

Все документы передаются эквайеру (банку-партнёру), который оценивает уровень риска. При несоответствии или нарушениях (особенно при инцидентах утечки данных) на организацию и банк могут быть наложены штрафы со стороны платёжных систем, а также, в худшем случае, запрет на обработку карточных данных.

Участие в деятельности

Любая организация, заинтересованная в сфере платёжных технологий, может стать «Участником программы» (Participating Organization). Статусы:

Решения в рабочих группах принимаются консенсусом или большинством, однако окончательное утверждение стандартов остаётся за пятью компаниями-основателями.

Применение и обязательность

Стандарты PCI SSC де-факто являются обязательными для всех участников платёжного рынка, так как платёжные системы (Visa, Mastercard, Мир и другие) включают требование соответствия PCI DSS в свои правила. Отсутствие сертификата соответствия может привести к:

В Российской Федерации правила платёжной системы «Мир» (оператор — Национальная система платёжных карт, НСПК) также содержат требования соответствия PCI DSS для участников расчётов. НСПК является членом PCI SSC с 2016 года и участвует в разработке стандартов.

Критика и ограничения

Основные претензии к стандартам PCI SSC связаны с:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →