Подробнее о том, что такое PCI DSS

Подробнее о том, что такое PCI DSS

Это полная версия статьи о сертификате PCI DSS. Читайте короткий вариант по ссылке


В последнее время электронные деньги всё больше и больше входят в обиход и постепенно замещают бумажные банкноты. Уже сложно представить себе современного человека, не имеющего в своём кошельке несколько пластиковых платёжных карт.

Пластиковыми платёжными картами очень удобно пользоваться, но, к сожалению, не всегда безопасно. И чем больше люди будут использовать такое удобное средство платежа, тем острее будет становиться вопрос безопасности денег, находящихся на их карточных счетах. Никто не хочет лишиться своих денег.

Для того чтобы иметь гарантию безопасности сохранности средств своих клиентов, такие компании, как, например, VISA и MasterCard требуют от торговых предприятий и различных поставщиков услуг, принимающих платежи от покупателей через данные платежные системы, соответствовать стандарту PCI DSS. Это относится не только к крупным, масштабным корпорациям. Небольшие компании также обязаны соответствовать этому стандарту.

Так что же это за стандарт PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт. Он разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами, такими как: Visa, MasterCard, American Express, JCB и Discover.

Стандарт PCI DSS – это  совокупность требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в информационных инфраструктурах организаций. Стандарт содержит в себе всего 12 чётких, детализированных требований.

Давайте перечислим все эти требования.

ВОЗНИКЛИ ВОПРОСЫ?

получите бесплатную консультацию у наших экспертов

Связаться

Требования стандарта PCI DSS

  • Защита вычислительной сети;
  • Конфигурация компонентов информационной структуры;
  • Защита хранимых данных о держателях карт;
  • Защита передаваемых данных о держателях карт;
  • Антивирусная защита информационной инфраструктуры;
  • Разработка и поддержка информационных систем;
  • Управление доступом к данным о держателях карт;
  • Механизмы аутентификации;
  • Физическая защита информационной инфраструктуры;
  • Управление информационной безопасностью;
  • Протоколирование событий и действий;
  • Контроль защищённости информационной инфраструктуры;

Существует заблуждение, что сертификация по стандарту PCI DSS – это формальность, и этот сертификат можно приобрести как обычную справку. Это неверное суждение. Для того чтобы предприятие соответствовало стандарту, должен выполняться комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Основная задача стандарта PCI DSS – это обеспечение безопасности сетевой инфраструктуры и защита хранимых данных о держателях платёжных карт, так как это самые уязвимые места, напрямую угрожающие потере конфиденциальности и денежных средств.

Стандарт PCI DSS регламентирует правила эксплуатации платёжных систем, а также процедур их разработки и мониторинга.


Также читайте на нашем сайте о сертификации PCI DSS для банков и процессинговых центров


Стандарт  PCI DSS нацелен на следующие аспекты:

– Защита данных о держателях карт.
– Построение и обслуживание защищённой сети.
– Внедрение строгих мер контроля доступа.
– Управление уязвимостями.
– Регулярный мониторинг и тестирование сети.
– Разработка политики информационной безопасности.

На какие предприятия распространяются требования этого стандарта?

Требования стандарта PCI DSS распространяются на торговые предприятия, банки, поставщиков всевозможных услуг и сервисов, розничные магазины, саll-центры, платёжные шлюзы и на другие предприятия и организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платёжных карт.

Стоит отдельно отметить тот факт, что требования стандарта PCI DSS  являются обязательными для всех банков Украины.


Узнайте какими преимуществами обладает сертификат PCI DSS


Как определить, нужно ли вашей компании соответствовать требованиям стандарта PCI DSS?

Если в вашей организации хранятся, обрабатываются или передаются данные платёжных карт, и при этом бизнес-процессы могут повлиять на безопасность этих карт, можно смело утверждать, что вам просто необходимо сертифицироваться, чтобы соответствовать стандарту  PCI DSS.

Большинству управляющих компаниями, директоров и топ-менеджеров присуще заблуждение, что стандарт PCI DSS  необходим только банкам или огромным торговым сетям.

Очень важно осознавать следующее: если ваша организация хранит, обрабатывает или передаёт в течение года информацию о  хотя бы одной карточной транзакции или владельце платёжной карты, тогда вы, как компания, должны соответствовать требованиям стандарта PCI DSS.

Также немаловажно помнить о том, что международные платёжные системы предусматривают наложение штрафных санкций на все организации, которые обязаны проходить ежегодную сертификацию на соответствие стандарту PCI DSS, но по каким-то причинам не делают этого.

Что же получит компания в результате прохождения аудита на соответствие стандарта PCI DSS?

Преимущества следующие:

– Соответствие требованиям международных платёжных систем.
– Снижение рисков от возможного разглашения конфиденциальной информации.
– Формирование общественного мнения о честном имени и стабильном положении компании.

Из всего выше сказанного можно сделать вывод, что соответствие компании стандарту PCI DSS крайне важно в современном мире бизнеса.

Авторы статьи:
Александр Куберский, Дмитрий Петращук.

Компания “ИТ-Специалист” – G+

ХОТИТЕ УЗНАТЬ БОЛЬШЕ ПРО PCI DSS?

Наши эксперты будут рады предоставить Вам бесплатную консультацию