Ми використовуємо файли cookie для покращення вашого досвіду користування. Натискаючи на будь-які посилання на нашому сайті ви погоджуєтеся на використання нами файлів cookie.

Більше інформації
Назад
Почати
Повернутися до глосарію

PCI DSS

PCI-DSS

Що таке PCI DSS?

PCI DSS розшифровується як Payment Card Industry Data Security Standard, або стандарт безпеки даних індустрії платіжних карток. Це документ, розроблений у 2005 році Радою зі стандартів безпеки індустрії платіжних карток для забезпечення безпеки карткових платежів. До ради входять провідні світові карткові мережі: Visa, Mastercard, American Express, JCB та Discover. З 2012 року PCI DSS є обов'язковим для всіх компаній, що працюють із банківськими картками.

Цей стандарт — комплексна система вимог, спрямована на захист даних власників карток під час здійснення платежів. Сертифікація на відповідність цим вимогам свідчить, що компанія дбає про безпеку особистої інформації своїх клієнтів.

На кого цей стандарт поширюється?

Будь-яка компанія, що займається обробкою карткових платежів, має відповідати вимогам PCI DSS. Зокрема:

  • роздрібні магазини;
  • постачальники платіжних послуг;
  • банківські установи, мікрофінансові організації;
  • будь-яка інша компанія або організація, що працює з картковими платежами.

Сертифікацію мають проходити як великі організації, так і малі підприємства.

Шукаєте безпечні платіжні рішення?👀
Наша PCI DSS L1-сертифікована платіжна платформа надає повний набір інструментів для захисту даних та чутливої ​​платіжної інформації. Мінімізуйте ризики, покладаючись на провідні практики безпеки платіжної індустрії.
Ознайомитися

Які вимоги містить PCI DSS?

Список ключових вимог складається з 12 пунктів, що стосуються шести основних аспектів: безпека мережі, захист даних клієнтів, управління вразливістю, контроль доступу, тестування та моніторинг, а також політики безпеки.

Ось суть вимог PCI DSS:

  • Встановіть та підтримуйте безпеку мережі, використовуючи релевантну конфігурацію брандмауера та уникаючи дефолтних параметрів безпеки.
  • Захистіть фінансову інформацію та інші дані власників карток за допомогою ефективних протоколів шифрування та забезпечте надійне зберігання даних.
  • Працюйте над вразливостями за допомогою інструментів сканування, антивірусних програм та додатків з безпеки.
  • Реалізуйте суворі заходи контролю як фізичного, так і цифрового доступу до даних. Переконайтеся, що лише група працівників, яким це необхідно для роботи, має доступ до даних клієнтів.
  • Постійно відстежуйте та тестуйте мережу на наявність загроз.
  • Розробіть політику безпеки, яка базується на принципах захисту інформації та конфіденційності даних.

Ваша PCI DSS L1 сертифікована платіжна платформа

Давайте познайомимося на короткому дзвінку — я хотів би дізнатися більше про ваш бізнес і обговорити, чим ми можемо бути корисні.
photo
Денис Мельников, Co-founder & CBDO

Що таке відповідність PCI DSS?

Відповідність PCI DSS, або комплаєнс, означає виконання всіх вимог цього регулювання, про які ми щойно говорили.

Щоб довести свою відповідність стандарту, компанії проходять сертифікацію. Процедура залежить від обсягу карткових транзакцій компанії. Ті, хто обробляє до 20 тисяч карткових транзакцій на рік, повинні заповнити self-assessment questionnaires (SAQ) та форму підтвердження відповідності, а також регулярно проходити сканування мережі затвердженим вендором. Підприємства з великими обсягами транзакцій також зобов'язані виконувати ці вимоги, але цього недостатньо для комплаєнсу. Додатковим обов'язковим кроком є проходження аудиту незалежним кваліфікованим оцінювачем безпеки (qualified security assessor, QSA), який визначає, чи відповідає компанія стандарту.

Обсяг карткових транзакцій визначає рівень відповідності, якого може досягти компанія. Level 1 — найсуворіший, застосовується до компаній із річним обсягом понад 6 мільйонів транзакцій. Level 2 призначений для компаній, що обробляють 1-6 млн транзакцій за картами на рік, level 3 — 20 тисяч-1 мільйон, і level 4 — до 20 тисяч.

Наявність сертифіката відповідності PCI DSS свідчить про серйозний підхід компанії до безпеки та захисту даних клієнтів. Він сприймається як знак якості, що свідчить про надійність та порядність такого бізнесу.

У разі порушення стандарту PCI компанія опиниться у складній ситуації. Наприклад, їхній банк може закрити їм рахунки. Крім цього, Mastercard вимагає, щоб підприємства з будь-яким обсягом транзакцій проходили сертифікацію за вимогами рівня 1, якщо вони раніше скомпрометували дані власників карток. Більше того, за недотримання регулювання передбачено штрафи у розмірі від 5 тисяч до 100 тисяч доларів на місяць.

Ознайомтеся з нашим коротким посібником з відповідності PCI DSS для отримання додаткової інформації про цей стандарт.

Чи відповідає Corefy PCI DSS?

Corefy — це платформа для управління платежами, сертифікована PCI DSS Level 1. Ми щороку проходимо незалежний аудит QSA, який перевіряє наших розробників, інфраструктуру, менеджмент, підтримку та операції.

Той факт, що ми постійно підтримуємо безпеку та комплаєнс нашої платформи, позбавляє наших клієнтів від багатьох труднощів. Сертифікацію повинні пройти тільки ті з них, які хочуть розмістити платіжну сторінку на своєму боці та працювати Server-to-Server. В інших випадках, нашим клієнтам не обов'язково проходити сертифікацію на відповідність PCI DSS.

Rocket
Готові вивести свій бізнес на новий рівень?

Зв'яжіться з нами, і ми підберемо найоптимальнішу пропозицію для вас.

Запит на демо

Дізнатися більше