О стандарте
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платёжных карт (Payment Card Industry Security Standards Council, PCI SSC), который учредили Visa, MasterCard, American Express, JCB и Discover.
Требования стандарта распространяются на все компании, работающие с международными платёжными системами: банки, торгово-сервисные предприятия, поставщиков технологических услуг и другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платёжных карт.
PCI DSS — комплексное руководство по безопасности
Стандарт PCI DSS выдвигает требования к защищённости компонентов инфраструктуры, в которой передаётся, обрабатывается или хранится информация о платёжных картах. Проверка платёжной инфраструктуры на соответствие этим требованиям выявляет причины, которые значительно снижают уровень её защищённости. Тесты на проникновение, которые входят в список обязательных мероприятий, регламентированных стандартом PCI DSS, показывают реальный уровень защищённости информационных ресурсов компании как с позиции злоумышленника, находящегося за пределами исследуемого периметра, так и с позиции сотрудника компании, имеющего доступ «изнутри».
Совет PCI DSS сформулировал ключевые требования по организации защиты данных в документе «Стандарт безопасности данных индустрии платёжных карт (PCI DSS). Требования и процедуры оценки безопасности. Версия 3.0». Эти требования сгруппированы таким образом, чтобы упростить процедуру аудита безопасности.
Требования и процедуры оценки безопасности PCI DSS
Построить и поддерживать защищённые сети и системы
- Требование 1. «Установить и поддерживать конфигурацию межсетевых экранов для защиты данных о держателях карт».
- Требование 2. «Не использовать пароли к системам и другие параметры безопасности, заданные производителем по умолчанию».
Защищать данные о держателях карт
- Требование 3. «Защищать хранимые данные о держателях карт».
- Требование 4. «Шифровать данные о держателях карт при их передаче через общедоступные сети».
Поддерживать программу управления уязвимостями
- Требование 5. «Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО».
- Требование 6. «Разрабатывать и поддерживать безопасные системы и приложения».
Внедрять строгие меры контроля доступа
- Требование 7. «Ограничивать доступ к данным о держателях карт в соответствии со служебной необходимостью».
- Требование 8. «Идентифицировать и аутентифицировать доступ к системным компонентам».
- Требование 9. «Ограничивать физический доступ к данным о держателях карт».
Осуществлять регулярный мониторинг и тестирование сетей
- Требование 10. «Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и данным о держателях карт».
- Требование 11. «Регулярно тестировать системы и процессы безопасности»
Поддерживать политику информационной безопасности
- Требование 12. «Поддерживать политику информационной безопасности для всех работников».
«Перспективный мониторинг» помогает банкам, торгово-сервисным предприятиям, разработчикам финансовых сервисов подготовится к аудиту на соответствие PCI DSS и оказывает экспертную поддержку по выполнению требований стандарта.