Останнім часом Visa і MasterCard все більш активно вимагають відповідності стандарту PCI DSS від платіжних шлюзів, торгово-сервісних підприємств, підключених до них, а також від постачальників послуг, які можуть впливати на безпеку карткових даних. У зв'язку з цим питання відповідності вимогам стандарту PCI DSS стає важливим не тільки для великих гравців індустрії платіжних карт, але і для невеликих торгово-сервісних підприємств. У цій статті ми відповімо на основні питання, які хвилюють організації, перед якими постало завдання сертифікації за стандартом PCI DSS.
Стандарт PCI DSS був розроблений Радою за стандартами безпеки даних індустрії платіжних карт PCI SSC (Payment Card Industry Security Standards Council), який був заснований міжнародними платіжними системами Visa, MasterCard, American Express, JCB, Discover. Стандарт регламентує зумовлений перелік вимог, як з технічної, так і з організаційного боку, маючи на увазі комплексний підхід з високим ступенем вимогливості до забезпечення безпеки даних платіжних карт (ДПК).
FAQ по PCI DSS для тих, хто цікавиться сертифікацією
# На кого поширюються вимоги стандарту PCI DSS?
Щоб зрозуміти, чи потрапляє ваша організація під обов'язкове дотримання вимог стандарту PCI DSS, пропонуємо скористатися нескладної блок-схемою.
Малюнок 1. Визначення необхідності відповідності стандарту PCI DSS
Насамперед слід відповісти на два питання:
- Зберігаються, обробляються або передаються дані платіжних карт у вашій організації?
- Чи можуть бізнес-процеси вашої організації безпосередньо впливати на безпеку даних платіжних карт?
При негативних відповідях на обидва ці питання сертифікуватися по PCI DSS непотрібно. У разі ж хоча б одного позитивної відповіді, як видно на малюнку 1, відповідність стандарту є необхідним.
# Які вимоги стандарту PCI DSS?
Для відповідності стандарту необхідно виконання вимог, які в загальних рисах представлені дванадцятьма розділами, наведеними в таблиці нижче.
Таблиця 1. Верхнеуровневие вимоги стандарту PCI DSS
Вимоги стандарту PCI DSS