PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безпеки даних індустрії платіжних карток, розроблений Радою зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами Visa, MasterCard, American Express, JCB і Discover.^[1] Стандарт являє собою сукупність 12 деталізованих вимог щодо забезпечення безпеки даних про власників платіжних карток, які передаються, зберігаються і обробляються в інформаційних інфраструктурах організацій. Прийняття відповідних заходів щодо забезпечення відповідності вимогам стандарту представляє комплексний підхід до забезпечення інформаційної безпеки даних платіжних карток. ^[2]

З моменту свого створення PCI DSS пройшов кілька ітерацій, щоб не відставати від змін у контексті мережевих загроз. Зараз стандарт PCI складається з 6 розділів, які поділяються на 12 основних вимог. ^[3]

1.Створення та підтримка безпечної мережі

• Встановлення та підтримка конфігурацій брандмауера для захисту даних власників карток;
• Невикористання наданих постачальником параметрів за замовчуванням для системних паролів та інших параметрів безпеки;

2. Захист даних власників карток

• Захист збережених даних про власників карток;
• Шифрування передачі даних про власників картки через відкриті загальнодоступні мережі;

3. Підтримка програми керування вразливістю

• Використання та регулярне оновлення антивірусного програмного забезпечення та додатків;
• Розробка та обслуговування безпечних систем та додатків;

4. Впровадження жорстких заходів контролю доступу

• Обмеження доступу до даних власника картки за принципом «необхідність для бізнесу»;
• Призначення унікального ідентифікатора кожній людині з доступом до комп’ютера;
• Обмеження фізичного доступу до даних власника картки;

5. Регулярна перевірка та тестування мережі

• Відстеження та контроль всіх доступів до мережевих ресурсів і даних власників карток;
• Регулярне тестування систем та процесів безпеки;

6. Дотримання політики інформаційної безпеки

• Підтримання політики безпеки інформації для співробітників і підрядників.

Різні міжнародні платіжні системи пред'являють різні вимоги до процесу підтвердження відповідності вимогам PCI DSS. Зазвичай, схеми підтвердження варіюються для організацій залежно кількості оброблюваних карткових транзакцій. Кожній організації надається певний рівень з відповідним набором вимог, які вони повинні виконувати. У рамках вимог платіжних систем передбачаються щорічні аудиторські перевірки організацій щодо відповідності PCI DSS (QSA) чи проведення самооцінки (SAQ).

Існує чотири рівні відповідності PCI DSS:

• Рівень 1 поширюється на організації, які щорічно обробляють понад 6 мільйонів карткових операцій.
• Рівень 2 поширюється на організації, які обробляють від 1 до 6 мільйонів транзакцій на рік.
• Рівень 3 поширюється на організації, які обробляють від 20 тисяч до 1 мільйона транзакцій на рік.
• Рівень 4 поширюється на організації, які обробляють до 20 тисяч транзакцій на рік. ^[4]

1.0 - початкова версія стандарту.

1.1 – прийнята у вересні 2006 року.

1.2 – прийнята у жовтні 2008 року.

1.2.1, мала редакція – прийнята у липні 2009 року; містить незначні технічні виправлення.

2.0 – прийнята у жовтні 2010 року.

3.0 – прийнята у листопаді 2013 року.

3.1 – прийнята у квітні 2015 року.

3.2 – прийнята у квітні 2016 року. Втратила чинність 31 грудня 2018 року.

3.2.1 – прийнята у 2018.

4.0 – прийнята у березні 2022 року. Поточна версія PCI DSS, v3.2.1 діятиме до 31 березня 2024 року. ^[5]

1. ↑ Frequently Asked Question. PCI Security Standards Council (амер.). Процитовано 21 вересня 2022. [Архівовано 2022-09-20 у Wayback Machine.]
2. ↑ Standards. PCI Security Standards Council (амер.). Процитовано 21 вересня 2022.
3. ↑ The 12 PCI DSS Compliance Requirements: What You Need to Know. www.auditboard.com (амер.). Процитовано 21 вересня 2022.
4. ↑ Irwin, Luke (6 вересня 2022). A guide to the PCI DSS compliance levels. IT Governance Blog En (брит.). Процитовано 21 вересня 2022.
5. ↑ Securing the Future of Payments: PCI SSC Publishes PCI Data Security Standard v4.0. PCI Security Standards Council (амер.). Процитовано 21 вересня 2022.

• PCI Security Standards Council [Архівовано 2 вересня 2019 у Wayback Machine.] (англ.)

Це незавершена стаття про безпеку. Ви можете допомогти проєкту, виправивши або дописавши її.