06 Кві, 2023

Стандарти безпеки даних інтерфейсу платіжної картки (PCI DSS)

Послуги Відповідності та Управління

Helps organizations meet regulatory requirements and industry standards.

Введення в PCI DSS

Стандарт безпеки даних індустрії платіжних карт (PCI DSS) - це набір стандартів безпеки, встановлених для захисту конфіденційних даних і забезпечення безпечних транзакцій між компаніями, які обробляють інформацію про власників карт, і їх клієнтами. PCI DSS був вперше представлений в 2004 році п'ятьма великими компаніями, що випускають кредитні карти, а саме Visa, Mastercard, American Express, Discover і JCB International. З тих пір стандарт зазнав кілька змін, і остання версія 4.0 з'явилася наприкінці березня 2022 року, хоча PCI DSS v3.2.1 (який був випущений в травні 2018 року) буде залишатися активним протягом двох років до березня 2024 року. І перехідний період до того моменту, коли PCI 4.0 вступить в повну силу в березні 2025 року.

Стандарт безпеки даних індустрії платіжних карт (PCI DSS) - це набір вимог, встановлених Радою за стандартами безпеки індустрії платіжних карт (PCI SSC) для забезпечення того, щоб усі компанії, які приймають, зберігають, обробляють або передають інформацію про кредитні картки, підтримували безпечне середовище. Відповідність стандарту PCI DSS є обов'язковим для всіх продавців, постачальників послуг і фінансових установ, які мають справу з інформацією про кредитних картах.

Використання PCI DSS?

PCI DSS використовується для захисту конфіденційної інформації про кредитні карти і забезпечення безпечних транзакцій між компаніями, які обробляють дані про власників карт, і їх клієнтами. Стандарт розроблений для запобігання шахрайства з кредитними картами, яке стало серйозною проблемою як для продавців, так і для емітентів та споживачів. Стандарт PCI DSS застосовується до будь-якої організації, яка приймає платежі по кредитних картах, незалежно від розміру або кількості оброблених трансакцій.

PCI DSS використовується для встановлення базових вимог безпеки при обробці інформації кредитної картки. Він містить набір стандартів, яким повинні слідувати для захисту конфіденційних даних про власників карток і запобігання витоку даних. PCI DSS допомагає організаціям підтримувати безпечне середовище для даних про власників карток, надаючи рекомендації з мережевої безпеки, контролю доступу, шифрування даних, управління уразливими та іншим заходам безпеки.

PCI DSS використовується компаніями, що випускають кредитні карти, торговцями, фінансовими установами та постачальниками послуг для забезпечення безпеки даних про власників карток і захисту від витоку даних. Відповідність стандарту PCI DSS є обов'язковим для всіх організацій, які обробляють інформацію про кредитні картки. Недотримання стандарту PCI DSS може призвести до накладання штрафів та анулювання можливості обробки платежів за кредитними картками.

В цілому, PCI DSS використовується для забезпечення безпечних платіжних трансакцій та захисту конфіденційної інформації кредитної картки від несанкціонованого доступу або крадіжки. Дотримуючись вимоги стандарту PCI DSS, організації можуть гарантувати, що вони роблять все можливе для захисту платіжних даних своїх клієнтів і підтримання довіри зацікавлених сторін.

До кого застосовується PCI DSS?

Стандарт PCI DSS застосовується до всіх організацій, які обробляють інформацію про кредитні картки, включаючи продавців, фінансові установи та постачальників послуг. Сюди входить будь-яка організація, яка приймає платежі за кредитними картками або зберігає, обробляє або передає дані про власників карт.

Продавці визначаються як будь-яка організація, яка приймає платіжні карти, включаючи звичайні підприємства, веб-сайти електронної комерції та мобільні платіжні додатки. Фінансові установи - це банки та інші фінансові організації, які випускають кредитні карти або надають послуги по обробці платежів. Постачальники послуг - це компанії, які надають послуги, пов'язані з обробкою даних про власників карток, такі як постачальники платіжних шлюзів, веб-хостингові компанії і центри обробки даних.

Стандарт PCI DSS застосовується до всіх організацій, незалежно від їх розміру або кількості оброблюваних ними транзакцій. Дотримання вимог є обов'язковим для всіх організацій, які обробляють інформацію про кредитні картки, незалежно від того, чи знаходяться вони у Сполучених Штатах або іншій країні.

Крім того, окремі працівники, які обробляють дані про власників карток, також повинні відповідати вимогам PCI DSS. Сюди входять співробітники, що працюють у відділі обслуговування клієнтів, фінансовому, ІТ-відділі та інших підрозділах, які обробляють платіжну інформацію.

В цілому, PCI DSS застосовний до широкого кола організацій і приватних осіб, які обробляють інформацію про кредитні картки. Дотримання стандарту необхідно для захисту конфіденційних даних про власників карток, запобігання витоку даних і забезпечення безпечних платіжних трансакцій.

Коли PCI DSS стає обов'язковим?

PCI DSS (стандарт безпеки даних індустрії платіжних карт) став необхідністю для будь-якої організації, обробної інформацію про кредитні картки, 30 червня 2005 року, коли основні компанії, що випускають кредитні карти, включаючи Visa, Mastercard, American Express, Discover і JCB, впровадили цей стандарт.

Ці компанії зажадали від усіх організацій, що приймають платежі по кредитних картах, дотримання стандарту PCI DSS для забезпечення безпеки даних про власників карток і запобігання витоку даних. Дотримання стандарту є обов'язковим для всіх організацій, які обробляють інформацію про кредитні картки, незалежно від того, чи знаходяться вони у Сполучених Штатах або іншій країні.

Компанії, які обробляють, зберігають або передають інформацію про кредитну карту, повинні відповідати стандарту PCI DSS (Payment Card Industry Data Security Standard). Сюди входить будь-яка компанія, яка приймає платежі по кредитних картах від клієнтів, незалежно від розміру організації або кількості транзакцій, які вона обробляє.

Відповідність стандарту PCI DSS є обов'язковим для всіх організацій, які обробляють інформацію про кредитні картки, включаючи продавців, постачальників послуг і фінансові установи. Дотримання вимог потрібно найбільшими компаніями, що випускають кредитні карти, включаючи Visa, Mastercard, American Express, Discover і JCB.

Конкретні вимоги до відповідності стандарту PCI DSS варіюються в залежності від розміру і складності організації і кількості транзакцій по кредитних картах, які вона обробляє. Проте всі організації повинні дотримуватися набору стандартів безпеки, призначених для захисту даних про власників карток і запобігання витоку даних.

Важливо зазначити, що відповідність стандарту PCI DSS - це безперервний процес, а не разова подія. Організації повинні регулярно переглядати й оновлювати свої заходи безпеки, щоб гарантувати, що вони продовжують відповідати вимогам стандарту та захищають від нових загроз і вразливостей.

Недотримання стандарту PCI DSS може призвести до серйозних наслідків, включаючи штрафи, неустойки та позбавлення можливості обробляти платежі по кредитних картах. Відповідність стандарту PCI DSS має важливе значення для захисту конфіденційних даних про власників карток і підтримання довіри клієнтів і зацікавлених сторін.

Хто може проводити аудит PCI DSS?

Аудит PCI DSS (стандарт безпеки даних індустрії платіжних карт) зазвичай проводиться кваліфікованими експертами з безпеки (QSA) або експертами з внутрішньої безпеки (ISA).

QSA - це незалежні аудиторські фірми, які сертифіковані Радою за стандартами безпеки PCI для проведення оцінок PCI DSS. Вони володіють спеціальними знаннями і досвідом у проведенні оцінок PCI DSS і можуть забезпечити об'єктивну оцінку відповідності організації стандарту. Служби контролю якості дотримуються суворого процесу проведення оцінки, який зазвичай включає в себе перегляд документації, співбесіда з працівниками та проведення технічних тестів для оцінки відповідності організації стандарту.

З іншого боку, ISA - це внутрішні співробітники організації, що пройшли навчання та сертифікацію Радою за стандартами безпеки PCI для проведення оцінок PCI DSS. МСА зазвичай використовуються невеликими організаціями, у яких немає ресурсів для найму зовнішнього QSA. МСА повинні володіти глибоким розумінням вимог PCI DSS і здатність проводити всебічну оцінку відповідності своєї організації.

На додаток до QSA і ISA організації можуть також проводити самооцінку для оцінки власного відповідності стандарту PCI DSS. Однак самооцінки підходять тільки для організацій, які відповідають певним критеріям, таким як обробка невеликого обсягу транзакцій по кредитних картах. Рада зі стандартів безпеки PCI надає організаціям рекомендації та інструменти для проведення власної самооцінки, але важливо відзначити, що самооцінки не вважаються такими всеосяжними, як оцінки, що проводяться QSA або ISA.

Незалежно від того, хто проводить оцінку, важливо переконатися, що вони кваліфіковані і мають досвід у проведенні оцінок PCI DSS. Рада зі стандартів безпеки PCI надає список сертифікованих QSA і ISA на своєму веб-сайті, щоб допомогти організаціям знайти кваліфікованих оцінювачів. Організації також повинні враховувати досвід і репутацію оцінювача, а також вартість і терміни проведення оцінки при виборі оцінювача.

Аудит PCI DSS повинен проводитися щорічно або частіше, залежно від обсягу транзакцій по кредитних картах, оброблюваних організацією. Результати оцінки повідомляються банку-еквайєру, або бренду платіжної картки, щоб продемонструвати відповідність стандарту.

Інші Послуги

Готові до безпеки?

зв'язатися з нами