Що таке PCI DSS?

PCI DSS розшифровується як Payment Card Industry Data Security Standard. Це сукупність вимог для організацій, які обробляють інформацію про кредитні картки, щоб забезпечити безпеку цієї інформації. Стандарт було запущено у вересні 2006 року PCI Security Standards Council, консорціумом провідних брендів платіжних карток.

Усі продавці та постачальники послуг, які приймають кредитні картки як спосіб оплати, зобов'язані дотримуватися умов PCI DSS. Якщо продавець не дотримується PCI DSS, він може зіткнутися зі значними фінансовими штрафами, пошкодженням репутації та потенційною втратою бізнесу.

PCI DSS має дотримуватися кожна компанія, яка отримує, керує, зберігає або передає дані власників карток. Це стосується роздрібних торговців, платіжних процесорів, банків та інших організацій, які можуть впливати на безпеку даних власників карток, таких як розробники програмного забезпечення та виробники обладнання.

Банки, кредитні спілки, хостингові компанії та інші організації, які отримують або обробляють дані власників карток по телефону, зобов'язані дотримуватися вимог. Щоб продовжувати приймати платежі за кредитними картками, будь-який співробітник компанії, який обробляє конфіденційні дані власників карток, повинен підтримувати відповідність PCI.

Обсяг транзакцій, які продавець або постачальник послуг обробляє щороку, визначає їхній ступінь відповідності PCI DSS. Рівень 1 є найвищим з чотирьох рівнів для продавців, і він має найсуворіші вимоги до звітності, такі як щорічний Звіт про відповідність (RoC) від стороннього аудитора.

Для рівнів з 2 по 4 зазвичай заповнюється Анкета самооцінки (SAQ). Продавці рівня 1 зобов'язані щорічно заповнювати RoC та обробляти понад 6 мільйонів транзакцій за картками щорічно.

PCI Attestation of Compliance (AoC) – це документ, що підтверджує відповідність організації вимогам PCI DSS. Він видається після того, як організація пройшла самооцінювання або зовнішній аудит Qualified Security Assessor (QSA) та довела, що відповідає вимогам стандарту.

AoC не є перешкодою для торгівлі, але він вселяє потенційним клієнтам впевненість у безпеці організації. AoC не є сертифікатом безпеки чи гарантією безпеки, а радше декларацією організації про її дотримання PCI DSS.

Що таке Стандарт безпеки даних індустрії платіжних карток (PCI DSS) – це набір правил і процедур, розроблених для забезпечення безпеки особистої інформації власників карток. Стандарт складається з 12 частин або вимог, які поділяються на шість груп відповідно до загальної політики безпеки. Ці групи такі: 

1) Створення та підтримка безпечних мереж; 

2) Захист даних власників карток; 

3) Використання надійної криптографії; 

4) Контролюйте доступ до даних власника картки; 

5) Моніторте та тестуйте мережі; 

6) Впровадьте політику інформаційної безпеки. 

Найновіша версія стандарту, PCI DSS 4.0, є оновленням та реструктуризацією 12 основних вимог, які визначають, як ефективно використовувати засоби контролю безпеки. Цей стандарт застосовується до будь-якого продавця або постачальника послуг, який обробляє, зберігає або передає дані власника картки. Організації повинні розуміти та застосовувати ці правила для захисту інформації та підвищення довіри.

Хоча платіжні додатки не регулюються безпосередньо PCI DSS, якщо вони не обробляють дані власників карток, вони є важливими для дотримання PCI DSS. Це пов'язано з тим, що продавці, які зобов'язані дотримуватися PCI DSS, використовують їх. Таким чином, платіжні додатки повинні бути розроблені та розгорнуті таким чином, щоб зменшити загрози безпеці та сприяти безпечному мережевому середовищу. 

Щоб допомогти роздрібним торговцям у дотриманні вимог PCI DSS, це включає такі функції, як управління вразливостями, шифрування, і безпечне зберігання даних. Зрештою, продавці можуть значно зменшити своє робоче навантаження та захистити дані власників карток, вибравши платіжну програму, яка ставить безпеку на перше місце та спрощує дотримання вимог PCI DSS.

PCI DSS створює стандарт обробки та захисту даних власників карток. Це знижує ймовірність витоків даних та крадіжки кредитних карток. 

Важливо розуміти, що створення системи обробки даних допомагає оптимізувати процеси та операції. SaaS-компаніям надається фреймворк, якого вони повинні дотримуватися, щоб встановити контроль та підтримувати безпечне середовище. Крім того, компанії-розробники програмного забезпечення змушені постійно стежити за своїми безпеки та відповідності системами, забезпечувати їх безперебійну роботу та гарантувати їх відповідність вимогам PCI DSS.

Недотримання вимог PCI DSS може призвести до значних фінансових та репутаційних наслідків, таких як великі штрафи, підвищені витрати на транзакції, розірвання ділових партнерств з банками та компаніями-емітентами карток, а також можливі судові позови. 

Платіжні системи можуть накладати грошові штрафи за недотримання вимог від $5000 до $100 000 на місяць, доки не буде досягнуто відповідності; більші компанії можуть підлягати вищим штрафам. Окрім грошових штрафів, недотримання вимог може призвести до операційних проблем, пошкодження бренду, зниження довіри клієнтів, судових позовів та витрат на відновлення у разі витоку даних, а також можливих розслідувань з боку регуляторних органів. Недотримання вимог може мати значні загальні витрати, які виходять за рамки безпосередніх штрафів та включають довгострокові наслідки витоків даних і шкоду репутації.

Для багатьох SaaS-компаній досягнення відповідності PCI DSS може бути складним завданням. Чітке визначення меж середовища даних власників карток, впровадження заходів безпеки, таких як брандмауери та шифрування, їх налаштування, а також дотримання суворих правил доступу є одними з найпоширеніших проблем. 

Точне визначення та класифікація середовища даних власників карток, яке включає всі мережі, системи та програми, що обробляють, зберігають або надсилають конфіденційні платіжні дані, є однією з перших проблем. Через брак ресурсів або досвіду організаціям може бути важко виконати всі необхідні стандарти PCI DSS. Недотримання PCI DSS може призвести до серйозних наслідків, таких як великі штрафи, шкода репутації та можливе переривання бізнесу.