PCI DSS расшифровывается как Payment Card Industry Data Security Standard, или стандарт безопасности данных индустрии платежных карт. Это документ, разработанный в 2005 году Советом по стандартам безопасности индустрии платежных карт для обеспечения безопасности карточных платежей. В совет входят ведущие мировые карточные сети: Visa, Mastercard, American Express, JCB и Discover. С 2012 года PCI DSS является обязательным для всех компаний, работающих с банковскими картами.
Этот стандарт — комплексная система требований, направленная на защиту данных держателей карт при совершении платежей. Сертификация на соответствие этим требованиям свидетельствует о том, что компания заботится о безопасности личной информации своих клиентов.
Любая компания, занимающаяся обработкой платежей по картам, должна соответствовать требованиям PCI DSS. А именно:
Сертификацию обязаны проходить как крупные организации, так и небольшие компании.
Список ключевых требований состоит из 12 пунктов, касающихся шести основных аспектов: сетевая безопасность, защита данных клиентов, управление уязвимостями, контроль доступа, тестирование и мониторинг, а также политики безопасности.
Вот суть требований PCI DSS:
Соответствие PCI DSS, или комплаенс, означает выполнение всех требований этого регулирования, о которых мы только что говорили.
Чтобы доказать свое соответствие стандарту, компании проходят сертификацию. Процедура зависит от объема карточных транзакций компании. Те, кто обрабатывает до 20 тысяч транзакций по картам в год, должны заполнить self-assessment questionnaires (SAQ) и форму подтверждения соответствия, а также регулярно проходить сканирование сети утвержденным вендором. Компании с большими объемами транзакций также обязаны выполнять эти требования, но этого недостаточно для комплаенса. Дополнительным обязательным шагом для них является прохождение аудита независимым квалифицированным оценщиком безопасности (qualified security assessor, QSA), который определяет, соответствует ли компания стандарту.
Объем транзакций по карте определяет уровень соответствия, которого может достичь компания. Level 1 — самый строгий, применяется к компаниям с годовым объемом более 6 миллионов транзакций. Level 2 предназначен для компаний, обрабатывающих 1-6 млн транзакций по картам в год, level 3 — 20 тысяч-1 миллион, и level 4 — до 20 тысяч.
Наличие сертификата соответствия PCI DSS свидетельствует о серьезном подходе компании к безопасности и защите данных клиентов. Он воспринимается как знак качества, свидетельствующий о надежности и порядочности такого бизнеса.
В случае нарушения стандарта PCI компания окажется в сложной ситуации. Например, их банк может закрыть им счета. Помимо этого, Mastercard требует, чтобы предприятия с любым объемом транзакций проходили сертификацию по требованиям Уровня 1, если они ранее скомпрометировали данные держателей карт. Более того, за несоблюдение регулирования предусмотрены штрафы в размере от 5 тысяч до 100 тысяч долларов в месяц.
Ознакомьтесь с нашим кратким руководством по соответствию PCI DSS для получения дополнительной информации об этом стандарте.
Corefy — это платформа для управления платежами, сертифицированная PCI DSS Level 1. Мы ежегодно проходим независимый аудит QSA, который проверяет наших разработчиков, инфраструктуру, менеджмент, поддержку и операции.
Тот факт, что мы постоянно обеспечиваем безопасность и комплаенс нашей платформы, избавляет наших клиентов от многих трудностей. Сертификацию должны пройти только те из них, которые хотят разместить платежную страницу на своей стороне и работать Server-to-Server. В других случаях нашим клиентам не обязательно проходить сертификацию на соответствие PCI DSS.
