Сертифікація pci dss все, що потрібно знати
Друзі, ми розширюємо асортимент послуг, що надаються і найближчим часом додамо на наш сайт можливість замовляти послуги з скануванню сайтів на наявність шкідливого коду (ASV-сканування), які вимагає сертифікація PCI DSS. У зв'язку з цим ми починаємо нову рубрику публікацій, пов'язаних зі стандартами і вимогами безпеки даних. І в першу чергу ми хочемо поговорити про сертифікацію PCI DSS.
Використання оплати кредитними і дебетовими картами передбачає можливу передачу, зберігання і обробку даних платіжних карт, що підвищує ризики кіберзлочинності. У зв'язку з цим MasterCard, Visa, American Express і інші платіжні системи висувають певні вимоги з безпеки до торговельних підприємств і постачальникам послуг, які працюють з даними платіжних карт. Ці вимоги описані в стандарті PCI DSS. Давайте розберемося, що таке сертифікація PCI DSS і які основні положення потрібно знати.
Що таке PCI DSS?
PCI DSS - це скорочення від Payment Card Industry Data Security Standard, що означає - стандарт безпеки даних індустрії платіжних карт.
Стандарт PCI DSS був розроблений радою PCI SSC (Payment Card Industry Security Standards Council, що в перекладі означає Рада зі стандартів безпеки індустрії платіжних карт). Члени-засновники ради PCI SSC - міжнародні платіжні системи Visa, MasterCard, American Express, JCB International і Discover Financial Services - погодилися прийняти загальний стандарт безпеки в якості частини технічних вимог для кожної з їх програм відповідності безпеки даних.
Крім того кожен член-засновник визнає кваліфікованих радою PCI SSC аудиторів систем безпеки (Qualified Security Assessors, QSA) і затверджених постачальників послуг сканування (Approved Scanning Vendors, ASV). До таких належить наш партнер Comodo. чий ліцензований сервіс сканування HackerGuardian PCI Scanning Service найближчим часом буде доступний для замовлення на нашому сайті.
Кому потрібна сертифікація PCI DSS?
Про безпеку даних платіжних карт повинні дбати всі, хто працює з платіжними картами або яким-небудь чином впливає на їх безпеку, а це можуть бути:
- Торгово-сервісні компанії будь-якого розміру
- фінансові установи
- Постачальники касових терміналів
- Виробники технічних засобів ЕОМ і програмного забезпечення, словом, все хто створює і використовує міжнародну інфраструктуру для обробки платежів.
Таким чином, вимоги стандартів PCI DSS застосовуються до всіх організацій, незалежно від їх розміру або кількості проведених транзакцій, які приймають, передають, обробляють або зберігають будь-яку інформацію власників кредитних карт, або ж якщо бізнес-процеси в цих організаціях можуть впливати на безпеку платіжних карт .
Вимоги стандарту PCI DSS
Сертифікація PCI DSS має на увазі відповідність стандарту, який складається з 12 розділів вичерпних вимог до забезпечення безпеки інформації про власників платіжних карт, з якими працюють торгово-сервісні підприємства і постачальники послуг.
Відповідність вимогам PCI стандарту має на увазі комплексне вжиття заходів щодо забезпечення безпеки на кожному з кроків роботи з платіжними картами, від передачі даних до її зберігання в базах даних компанії.
Вимоги PCI DSS