Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard. Представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.

О стандарте безопасности платёжных систем

Стандарт разработан международными платёжными системами Visa и MasterCard. Объединяет в себе требования ряда программ по защите информации, в частности:

• у Visa в Европе — Account Information Security (AIS);
• у Visa в США — Cardholder Information Security (CISP);
• у MasterCard — Site Data Protection (SDP).

Требования стандарта распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года стандарт введён международной платёжной системой Visa на территории региона CEMEA (центральная и восточная Европа, Ближний Восток и Африка) как обязательный, соответственно, его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платёжные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям стандарта.

Уровни сертификации по PCI DSS

Существует 4 уровня сертификации по стандарту PCI DSS ^[1].

• Level 1: Требуется мерчантам, с количеством транзакций более 6 млн. в год и сервис-провайдерам с количеством транзакций более 300 тыс.
• Level 2: Требуется мерчантам, с количеством транзакций 1...6 млн. в год.
• Level 3: Требуется мерчантам, с количеством транзакций 20 тыс. ... 1млн. в год.
• Level 4: Требуется мерчантам, с количеством транзакций до 20 тыс. в год.

Сертификация по Level 1 обязательно должна проводиться Qualified Security Assessor (англ.). Для остальных уровней привлечение QSA не является обязательным требованием. Однако QSA может оказать консалтинговые услуги для прохождения сертификации по любому уровню.

В России действуют следующие QSA-компании (по году получения статуса):

• Информзащита (c 2007)
• Digital Security (c 2008)
• ЕВРААС ИТ (c 2008)
• Инфосистемы Джет (c 2008)
• Энвижн Груп (c 2009)
• Deiteriy (c 2011)
• КРОК инкорпорейтед (c 2011)

Из российских компаний статусом PA-QSA обладают:

• Digital Security
• Информзащита

Полный список QSA и PA-QSA компаний можно найти на официальном сайте PCI Security Standart Council (англ.)

Основные области контроля и требования безопасности

PCI DSS определяет следующие шесть областей контроля и 12 основных требований по безопасности.

Построение и сопровождение защищённой сети

• Требование 1: установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт.
• Требование 2: неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

Защита данных держателей карт

• Требование 3: обеспечение защиты данных держателей карт в ходе их хранения.
• Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

Поддержка программы управления уязвимостями

• Требование 5: использование и регулярное обновление антивирусного программного обеспечения.
• Требование 6: разработка и поддержка безопасных систем и приложений.

Реализация мер по строгому контролю доступа

• Требование 7: ограничение доступа к данным держателей карт в соответствии со служебной необходимостью.
• Требование 8: присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре.
• Требование 9: ограничение физического доступа к данным держателей карт.

Регулярный мониторинг и тестирование сети

• Требование 10: контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт.
• Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

Поддержка политики информационной безопасности

• Требование 12: разработка, поддержка и исполнение политики информационной безопасности.

Версии стандарта

• 1.0 — первоначальная версия стандарта.
• 1.1 — принята в сентябре 2006 года.
• 1.2 — принята в октябре 2008 года.
• 1.2.1, малая редакция — принята в июле 2009 года; содержит непринципиальные технические поправки.
• 2.0 - принята в октябре 2010 года.

Примечания