Сертификат PCI DSS что это такое

Обновлено: 21.11.2024

Совет по стандартам безопасности PCI затрагивает жизни сотен миллионов людей по всему миру. Глобальная организация поддерживает, развивает и продвигает стандарты индустрии платежных карт для безопасности данных держателей карт по всему миру.

Кому мы служим

Мы обслуживаем тех, кто работает с платежными картами и связан с ними. К ним относятся: продавцы всех размеров, финансовые учреждения, поставщики торговых точек, а также разработчики аппаратного и программного обеспечения, которые создают и управляют глобальной инфраструктурой для обработки платежей.

Что мы делаем

В нашей работе есть два приоритета:

  • Помощь продавцам и финансовым учреждениям в понимании и внедрении стандартов политик безопасности, технологий и текущих процессов, которые защищают их платежные системы от взломов и кражи данных держателей карт.
  • Помощь поставщикам в понимании и внедрении стандартов для создания безопасных платежных решений.

«В течение нескольких лет Совет по стандартам безопасности PCI проделал достойную похвалы работу по определению и развитию единого набора стандартов, а также по выслушиванию и адаптации отзывов продавцов с течением времени. банки, платежные системы, поставщики услуг и поставщики технологий».
– Дерек Бринк, вице-президент и научный сотрудник Aberdeen Group

Совет был основан в 2006 году компаниями American Express, Discover, JCB International, Mastercard и Visa Inc. Они в равной степени владеют, управляют и выполняют работу Совета.

Полезные ссылки

Вопросы безопасности

От клиентов до продавцов и финансовых учреждений безопасность данных держателей карт касается всех. Узнайте, как защита данных держателей карт может помочь сохранить доверие клиентов, обеспечить соответствие требованиям и принести пользу вашей организации в долгосрочной перспективе.

Стандарты безопасности PCI

Поддержание безопасности платежей требуется для всех организаций, которые хранят, обрабатывают или передают данные о держателях карт. Руководство по обеспечению безопасности платежей содержится в стандартах безопасности PCI. Они устанавливают технические и операционные требования для организаций, принимающих или обрабатывающих платежные транзакции, а также для разработчиков программного обеспечения и производителей приложений и устройств, используемых в этих транзакциях.

Как защитить

Следование рекомендациям Стандарта безопасности данных PCI поможет защитить вашу киберзащиту от атак, направленных на кражу данных держателей карт.

Оценка безопасности ваших данных о держателях карт

Большинство мелких продавцов могут использовать инструмент самопроверки для оценки уровня безопасности данных держателей карт. Анкета для самооценки включает в себя ряд вопросов для каждого применимого требования Стандарта безопасности данных PCI. Для различных торговых сред доступны разные SAQ.

Стандарт безопасности данных индустрии платежных карт (PCI DSS) – это набор стандартов безопасности, разработанный в 2004 году компаниями Visa, MasterCard, Discover Financial Services, JCB International и American Express. Схема соответствия, регулируемая Советом по стандартам безопасности индустрии платежных карт (PCI SSC), направлена ​​на защиту транзакций по кредитным и дебетовым картам от кражи данных и мошенничества.

Несмотря на то, что PCI SSC не имеет юридических полномочий принуждать к соблюдению, это требование для любой компании, которая обрабатывает транзакции по кредитным или дебетовым картам. Сертификация PCI также считается лучшим способом защиты конфиденциальных данных и информации, помогая компаниям строить долгосрочные и доверительные отношения со своими клиентами.

Сертификат PCI DSS

Сертификация PCI обеспечивает безопасность карточных данных в вашем бизнесе благодаря набору требований, установленных PCI SSC. К ним относятся ряд общеизвестных рекомендаций, таких как:

  • Установка брандмауэров
  • Шифрование передачи данных
  • Использование антивирусного ПО

Кроме того, предприятия должны ограничивать доступ к данным держателей карт и контролировать доступ к сетевым ресурсам.

Безопасность, соответствующая стандарту PCI, представляет собой ценный актив, который информирует клиентов о том, что с вашим бизнесом безопасно вести дела. И наоборот, цена несоблюдения требований, как в денежном, так и в репутационном выражении, должна быть достаточной, чтобы убедить любого владельца бизнеса серьезно относиться к безопасности данных.

Нарушение данных, раскрывающее конфиденциальную информацию о клиентах, может иметь серьезные последствия для предприятия. Нарушение может привести к штрафам со стороны эмитентов платежных карт, судебным искам, снижению продаж и серьезному ущербу для репутации.

После взлома компания может прекратить прием транзакций по кредитным картам или быть вынуждена платить более высокие последующие платежи, чем первоначальные затраты на соблюдение требований безопасности. Инвестиции в процедуры безопасности PCI имеют большое значение для обеспечения того, чтобы другие аспекты вашей торговли были защищены от злоумышленников в Интернете.

Ключевые результаты исследования инсайдерских угроз Forrester за 2021 г.

Уровни соответствия стандарту PCI DSS

Соответствие стандарту PCI подразделяется на четыре уровня в зависимости от годового количества транзакций по кредитным или дебетовым картам, которые бизнес обрабатывает. Уровень классификации определяет, что предприятие должно делать, чтобы соответствовать требованиям.

  • Уровень 1. Относится к продавцам, которые ежегодно обрабатывают более шести миллионов реальных транзакций по кредитным или дебетовым картам. Раз в год они должны проходить внутренний аудит, проводимый уполномоченным аудитором PCI. Кроме того, раз в квартал они должны проходить сканирование PCI у утвержденного поставщика услуг сканирования (ASV).
  • Уровень 2. Применяется к продавцам, которые ежегодно обрабатывают от одного до шести миллионов реальных транзакций по кредитным или дебетовым картам. Они обязаны проходить оценку один раз в год, используя Анкету самооценки (SAQ). Кроме того, может потребоваться ежеквартальное сканирование PCI.
  • Уровень 3. Применяется к продавцам, которые ежегодно обрабатывают от 20 000 до миллиона транзакций электронной торговли. Они должны пройти ежегодную оценку, используя соответствующий SAQ. Также может потребоваться ежеквартальное сканирование PCI.
  • Уровень 4. Применяется к продавцам, обрабатывающим менее 20 000 транзакций электронной торговли в год или обрабатывающим до миллиона транзакций в реальном мире. Должна быть выполнена ежегодная оценка с использованием соответствующего SAQ, и может потребоваться ежеквартальное сканирование PCI.

Требования PCI DSS

PCI SSC изложил 12 требований по обработке данных держателей карт и обеспечению безопасности сети. Распределенные между шестью более широкими целями, все они необходимы для того, чтобы предприятие соответствовало требованиям.

Защищенная сеть

  1. Необходимо установить и поддерживать конфигурацию брандмауэра.
  2. Системные пароли должны быть оригинальными (не предоставленными поставщиком)

Защитите данные держателей карт

  1. Хранящиеся данные держателей карт должны быть защищены
  2. Передача данных о держателях карт через общедоступные сети должна быть зашифрована.

Управление уязвимостями

  1. Необходимо использовать и регулярно обновлять антивирусное программное обеспечение.
  2. Необходимо разрабатывать и поддерживать безопасные системы и приложения

Контроль доступа

  1. Доступ к данным о держателях карт должен быть ограничен служебной необходимостью.
  2. Каждому лицу, имеющему доступ к компьютеру, должен быть присвоен уникальный идентификатор.
  3. Физический доступ к данным держателей карт должен быть ограничен.

Мониторинг и тестирование сети

  1. Доступ к данным держателей карт и сетевым ресурсам должен отслеживаться и контролироваться.
  2. Системы и процессы безопасности необходимо регулярно тестировать

Информационная безопасность

  1. Должна соблюдаться политика, касающаяся информационной безопасности.

Узнайте, как решения Imperva Data Security Solutions могут помочь вам пройти сертификацию PCI DSS.

Соответствие PCI и брандмауэры веб-приложений

С момента своего создания стандарт PCI DSS претерпел несколько итераций, чтобы не отставать от изменений в ландшафте онлайн-угроз. Хотя основные правила соответствия остаются неизменными, периодически добавляются новые требования.

Одним из наиболее важных дополнений стало Требование 6.6, введенное в 2008 году. Оно было создано для защиты данных от наиболее распространенных векторов атак на веб-приложения, включая SQL-инъекции, RFI и другие вредоносные входные данные. Используя такие методы, злоумышленники потенциально могут получить доступ к множеству данных, включая конфиденциальную информацию о клиентах.

Выполнить это требование можно либо путем проверки кода приложения, либо путем внедрения брандмауэра веб-приложений (WAF).

Первый вариант включает ручную проверку исходного кода веб-приложения в сочетании с оценкой уязвимости безопасности приложения. Для проведения проверки требуется квалифицированный внутренний ресурс или третья сторона, а окончательное утверждение должно исходить от внешней организации.Кроме того, назначенный рецензент должен быть в курсе последних тенденций в области безопасности веб-приложений, чтобы обеспечить надлежащее устранение всех будущих угроз.

Кроме того, компании могут защититься от атак на уровне приложений, используя WAF, развернутый между приложением и клиентами. WAF проверяет весь входящий трафик и отфильтровывает вредоносные атаки.

Предлагаемый Imperva, наш облачный WAF блокирует атаки веб-приложений, используя ряд различных методологий безопасности, включая распознавание подписи и репутацию IP. Поскольку он полностью соответствует требованиям PCI Requirement 6.6, его можно настроить и подготовить к использованию за считанные минуты.

Чтобы еще больше упростить соблюдение требований, облачный WAF Imperva не требует дополнительных затрат на установку оборудования или управление. Это позволяет всем организациям — от крупных компаний до стартапов и малых и средних предприятий, которые могут не иметь необходимой инфраструктуры безопасности и персонала — оставаться защищенными и соответствовать стандарту PCI DSS.

Добро пожаловать на предварительный просмотр обновленного веб-сайта PCI для сообщества!
Полная версия сайта будет выпущена в следующем месяце с совершенно новым внешним видом, оптимизированным содержанием и интуитивно понятной навигацией.

В этом настроенном предварительном просмотре представлена ​​часть того, что будет готово после того, как мы сделали доступными разделы PCI Security и About Us.

Мы очень рады представить вам этот особый взгляд на будущее веб-присутствия PCI и призываем вас оставлять отзывы. Наслаждайтесь предварительным просмотром!

Миссия Совета по стандартам безопасности PCI заключается в повышении безопасности данных платежных аккаунтов во всем мире путем разработки стандартов и вспомогательных услуг, которые способствуют обучению, повышению осведомленности и эффективному внедрению заинтересованными сторонами.

Зачем безопасно?

Защитите свои системы, и клиенты смогут доверять вам конфиденциальную информацию о своих платежных картах. Когда вы соблюдаете требования, вы становитесь частью решения — единого глобального ответа на борьбу с компрометацией данных платежных карт.

Как мы можем помочь

Совет по стандартам безопасности PCI постоянно работает над мониторингом угроз и совершенствованием отраслевых средств борьбы с ними посредством усовершенствования стандартов безопасности PCI и обучения специалистов по безопасности.

Избранные документы

Избранное

  • Часто задаваемые технические вопросы по P2PE v3.x, март 2022 г.
  • Руководство по программе CPSA, март 2022 г.
  • БЮЛЛЕТЕНЬ за февраль 2022 г.: АКЦИИ ПРОГРАММ-ВЫМОГАТЕЛЕЙ ВОЗВРАЩАЮТСЯ

Обучение

Пройдите курс обучения ISA или QSA в Лондоне в апреле

Стань ISA или QSA, пройдя очное обучение в Лондоне, Англия, в апреле этого года! Эти тренинги будут проводиться отраслевым экспертом PCI SSC, где у вас будет возможность пообщаться с другими отраслевыми экспертами, а также задать вопросы, связанные с доставляемым контентом.

События

Сохраняйте даты! PCI SSC будет проводить различные региональные очные мероприятия для всего нашего сообщества заинтересованных сторон в Северной Америке, Европе и Азиатско-Тихоокеанском регионе. И, новинка этого года, дополнительные программы онлайн-контента, включая глобальный симпозиум PCI DSS v4.0 и запуск глобальной библиотеки контента.

Новости PCI

Совет по стандартам безопасности PCI нанимает Майка Томпсона для руководства новыми стандартами

Национальный альянс по кибербезопасности и Совет по стандартам безопасности PCI выпустили совместный бюллетень об атаках программ-вымогателей

Совет по стандартам безопасности PCI назначает новый бразильский консультативный совет на 2022–2023 годы

Подпишитесь, чтобы получать уведомления, когда Совет выпустит пресс-релиз.

Последние новости от @PCISSC

Как вам, несомненно, известно, ураган "Ирма", по прогнозам, обрушится на штат Флорида в эти выходные и продлится до начала следующей недели. Хотя это серьезный шторм с потенциальными серьезными последствиями для некоторых частей Флориды, текущие модели прогнозов не показывают, что шторм окажет значительное влияние на район Орландо. Мы находимся в постоянном контакте с командами безопасности и логистики в Swan и Dolphin, и примечательно, что Орландо в настоящее время не находится под наблюдением или предупреждением об урагане. Учитывая это, в настоящее время мы не вносим никаких изменений в расписание встречи сообщества PCI SSC в Северной Америке.

Несколько фактов для интересующихся:

  • Большинство моделей показывают, что шторм, скорее всего, пройдет к югу от Майами, а текущий путь проходит над Ки-Уэстом, примерно в 394 милях к югу от Орландо.
  • По текущим прогнозам на понедельник в Орландо порывы ветра могут достигать 38 миль в час.Мы рекомендуем вам уточнить у вашей авиакомпании, как это может повлиять на ваши планы поездок, и, конечно же, помните, что погода в Майами будет значительно хуже, поэтому стыковки там, скорее всего, будут затронуты.
  • Орландо считается одним из самых безопасных городов Флориды с точки зрения ураганов, поскольку он расположен вдали от суши.
  • С этой целью за 50 лет Мир Уолта Диснея закрывался только четыре раза из-за погодных условий, и в каждом из этих случаев парк подвергался лишь незначительным нарушениям.

Мы будем продолжать следить за ситуацией и при необходимости отправлять обновления.

О нас

Обучение

Начало работы

Контакты и информация

Медиа

Авторское право © 2006–2022 PCI Security Standards Council, LLC. Все права защищены. Условия и положения. Карта сайта • Услуги по управлению ассоциациями, предоставляемые Virtual, Inc. • Антимонопольная политика • Политика конфиденциальности • Политика IPR

Для всех организаций, обрабатывающих платежные карты, сертификация стандарта безопасности данных индустрии платежных карт (PCI-DSS) занимает первое место в списке приоритетов безопасности данных и соответствия требованиям. PCI-DSS – это стандарт информационной безопасности, предназначенный для организаций, обрабатывающих операции с фирменными кредитными картами.

Стандарт безопасности данных PCI призван служить основой для контроля, рекомендуя базовый уровень безопасности для продавцов и поставщиков услуг, которые хранят, обрабатывают и передают данные платежных карт.

Термин «стандарт» в стандарте PCI Data Security Standard может заставить вас поверить в то, что внедрение требований соответствия PCI — это «хорошо иметь», а не «обязательно иметь иначе». На самом деле, это так же хорошо, как правило.

Несмотря на то, что Совет PCI не имеет законных полномочий принуждать к соблюдению, если вы не выполнили требования соответствия PCI и не имеете сертификата PCI-DSS, компании-эмитенты кредитных карт не позволят вам обрабатывать свои платежные карты. Кстати, вас тоже могут оштрафовать. Таким образом, если вы хотите обрабатывать фирменные платежные карты, вы должны пройти сертификацию PCI-DSS.

В 2004 г. компании-эмитенты кредитных карт Visa, MasterCard, Discover, American Express и JCB International объединили усилия, чтобы выпустить PCI-DSS версии 1.0 в качестве первого отраслевого стандарта платежных карт, гарантирующего, что онлайн-продавцы будут иметь системы. и процессы для предотвращения утечки данных платежной карты. В 2006 году все эти компании вместе сформировали Совет по стандартам безопасности индустрии платежных карт (PCI SSC).

Совет управляет текущим развитием стандарта безопасности данных индустрии платежных карт. С 2006 года Совет выпустил различные версии стандарта PCI Data Security Standard, среди которых PCI-DSS 3.2.1, выпущенный в мае 2018 года, является последней версией.

Совет PCI определил стандарт безопасности данных индустрии платежных карт как набор из 12 важных требований и подтребований, содержащих многочисленные директивы, на основании которых предприятия могут оценивать свои собственные процедуры и рекомендации по обеспечению безопасности платежных карт. У каждого из 12 требований есть несколько подтребований, которые при учете приводят к полномасштабному комплексному набору требований к средствам контроля, которым должна соответствовать ваша организация.

Получение сертификата соответствия PCI и последующее его поддержание могут занять много времени и быть сложными. Но есть пути, которым можно следовать, чтобы упростить процесс, когда вы продвигаетесь вперед, чтобы защитить своих держателей карт. Вот 4 шага:

Шаг первый: изучите 12 стандартов сертификации PCI

В основном существует 12 требований PCI-DSS, распределенных между шестью более широкими целями, и все они необходимы предприятию для получения сертификата соответствия PCI. В целом вам необходимо выполнить в общей сложности 12 требований и примерно 251 подтребование, изложенных в документации PCI-DSS версии 3.2.1, чтобы полностью выполнить требования сертификации соответствия PCI. Общая сводка требований соответствия PCI представлена ​​в таблице ниже:

Читайте также: