Сертификат PCI DSS — что это и кому он нужен?

PCI DSS (Payment Card Industry Data Security Standard) — общепринятый стандарт безопасности, которому должны соответствовать поставщики товаров и услуг, принимающих в качестве средства оплаты платёжные карты. Если говорить проще, то PCI DSS представляет собой документ с длинным списком критериев, которым должен соответствовать бизнес, если он так или иначе управляет данными банковских карт. Номером, сроком действия, CVV-кодом и т.д.

Платёжных карт существует довольно много. И для того, чтобы создать стандарт в этой сфере, участникам рынка необходимо договориться о том, что можно считать безопасным. Для этого создали Совет по стандартам безопасности индустрии платежных карт (PCI SSC, Payment Card Industry Security Standards Council). Именно этот совет, образованный пятью крупнейшими платёжными системами (Visa, MasterCard, American Express, JCB и Discover), определяет «правила игры». Компании, желающие получить документ «Сертифицировано PCI DSS», обязаны следовать этим правилам ежегодно проходить сертификацию.

Всего в документе несколько сотен критериев, разбитых на 12 подгрупп:

1. Защита вычислительной сети.
2. Конфигурация компонентов информационной инфраструктуры.
3. Защита хранимых данных о держателях карт.
4. Защита передаваемых данных о держателях карт.
5. Антивирусная защита информационной инфраструктуры.
6. Разработка и поддержка информационных систем.
7. Управление доступом к данным о держателях карт.
8. Механизмы аутентификации.
9. Физическая защита информационной инфраструктуры.
10. Протоколирование событий и действий.
11. Контроль защищенности информационной инфраструктуры.
12. Управление информационной безопасностью.

Как видно, проверяется и программная часть, и физическая инфраструктура. Так что наличие сертификата PCI DSS демонстрирует серьёзное отношение копании к вопросу безопасности платёжной информации клиентов.

Кому нужно получать сертификат PCI DSS и что будет, если этого не сделать

Ответ на вопрос «кому?» очень прост: каждой организации, обрабатывающей данные платёжных карт. Даже если компания не хранит эти данные, но передаёт их по сети, использует эти данные или может получить доступ к ним, то она автоматически становится участником платёжной системы. И обязана пройти сертификацию PCI DSS.

Что будет, если не получать сертификат PCI DSS. Если проигнорировать требования стандарта, компанию ждут неприятности. Ей грозит расторжение или отказ в заключении договора на приобретение услуг международных платежных систем. Другими словами, невозможно будет работать с карточными платежами.

Можно ли не проходить сертификацию PCI DSS

Можно. Разместите вашу систему в виртуальной инфраструктуре Cloud4Y, чтобы избавить себя от необходимости регулярно проходить сертификацию и приобретать специальное оборудование. Облачный провайдер предлагает решение, которое позволит вам значительно упростить выполнение требований стандарта PCI DSS.

Понравилась статья? Ставьте ЛАЙК 👍, делитесь в социальных сетях и подписывайтесь на канал, чтобы не пропускать новые выпуски! Если вы хотите оптимизировать свою ИТ-инфраструктуру, напишите или позвоните нам (+7 495 268 04 12).