Детальніше про те, що таке PCI DSS

Детальніше про те, що таке PCI DSS

Також читайте статтю “Сертифікат PCI DSS”


Останнім часом електронні гроші все більше входять в щоденний вжиток і поступово заміщають паперові банкноти. Складно уявити собі сучасну людину, що не має в своєму гаманці кілька пластикових платіжних карт.

Пластиковими платіжними картками дуже зручно користуватися, але, на жаль, не завжди безпечно. І чим більше люди будуть використовувати такий зручний засіб платежу, тим гостріше буде ставати питання безпеки грошей, що знаходяться на їхніх банківських рахунках. Ніхто не хоче втратити свої кошти.

Для того щоб мати гарантію безпеки збереження коштів своїх клієнтів, такі компанії, як, наприклад, VISA і MasterCard вимагають від торгових підприємств і різних постачальників послуг, які приймають платежі від покупців через дані платіжні системи, відповідати стандарту PCI DSS. Це відноситься не тільки до великих, масштабних корпорацій. Невеликі компанії також зобов’язані відповідати цьому стандарту.

Так що ж це за стандарт PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) – стандарт безпеки даних індустрії платіжних карток. Він розроблений Радою стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як: Visa, MasterCard, American Express, JCB і Discover.

Стандарт PCI DSS – це сукупність вимог щодо забезпечення безпеки даних власників платіжних карток, які зберігаються, передаються і обробляються в інформаційних інфраструктурах організацій. Стандарт містить в собі всього 12 точних, деталізованих вимог.

Давайте перерахуємо всі ці вимоги.

ВИНИКЛИ ПИТАННЯ? отримайте безкоштовну консультацію у наших експертів
Зв'язатися

Також читайте статтю “Сертифікація PCI DSS в Україні”


Вимоги стандарту PCI DSS
  • Захист локальної мережі;
  • Конфігурація компонентів інформаційної структури;
  • Захист збережених даних власників карток;
  • Захист переданих даних власників карток;
  • Антивірусний захист інформаційної інфраструктури;
  • Розробка і підтримка інформаційних систем;
  • Управління доступом до даних власників карток;
  • Механізми автентифікації;
  • Фізичний захист інформаційної інфраструктури;
  • Управління інформаційною безпекою;
  • Ведення журналу подій і процесів;
  • Контроль захищеності інформаційної інфраструктури;

Існує хибна думка, що сертифікація за стандартом PCI DSS – це формальність, і цей сертифікат можна придбати як звичайну довідку. Це невірне судження. Для того щоб підприємство відповідало стандарту, повинен виконуватися комплексний підхід до забезпечення інформаційної безпеки даних платіжних карт.

Основне завдання стандарту PCI DSS – забезпечення безпеки мережевої інфраструктури і захист даних власників платіжних карток, що зберігаються, так як це найбільш вразливі місця, які безпосередньо загрожують конфіденційності та втраті грошових коштів.

Стандарт PCI DSS регламентує правила експлуатації платіжних систем, а також процедури їх розробки і моніторингу.

Стандарт PCI DSS націлений на наступні аспекти:

  • Захист даних власників карток.
  • Побудова і обслуговування захищеної мережі.
  • Впровадження жорстких заходів контролю доступу.
  • Управління вразливостями .
  • Регулярний моніторинг і тестування мережі.
  • Розробка політики інформаційної безпеки.

На які підприємства поширюються вимоги цього стандарту?

Вимоги стандарту PCI DSS розповсюджуються на торгові підприємства, банки, постачальників різноманітних послуг і сервісів, роздрібні магазини, саll-центри, платіжні шлюзи та на інші підприємства і організації, діяльність яких пов’язана з обробкою, передачею і зберіганням даних власників платіжних карток.

Варто окремо відзначити той факт, що вимоги стандарту PCI DSS є обов’язковими для всіх банків України.

Як визначити, чи потрібно вашій компанії відповідати вимогам стандарту PCI DSS?

Якщо у вашій організації зберігаються, обробляються або передаються дані платіжних карт, і при цьому бізнес-процеси можуть вплинути на безпеку цих даних, можна сміливо стверджувати, що вам просто необхідно сертифікуватися, щоб відповідати стандарту PCI DSS.

Більшості керівників компаніями, директорів і топ-менеджерів притаманна думка, що стандарт PCI DSS необхідний тільки банкам або величезним торговим мережам.

Дуже важливо усвідомлювати наступне: якщо ваша організація зберігає, оброблює або передає протягом року інформацію  хоча б про одну карткову транзакцію або власника платіжної картки, тоді ви, як компанія, повинні відповідати вимогам стандарту PCI DSS.

Також важливо пам’ятати про те, що міжнародні платіжні системи передбачають накладення штрафних санкцій на всі організації, які зобов’язані проходити щорічну сертифікацію на відповідність стандарту PCI DSS, але з якихось причин не роблять цього.

Що ж отримає компанія в результаті проходження аудиту на відповідність стандарту PCI DSS?

Переваги наступні:

  • Відповідність вимогам міжнародних платіжних систем.
  • Зниження ризиків від можливого розголошення конфіденційної інформації.
  • Формування громадської думки про чесне ім’я і стабільне положення компанії.

З усього вище сказаного можна зробити висновок, що відповідність компанії стандарту PCI DSS вкрай важливо в сучасному світі бізнесу.

Автори статті:
Олександр Куберський, Дмитро Петращук

Компанія “ІТ-Спеціаліст” – G+

БАЖАЄТЕ ДІЗНАТИСЯ БІЛЬШЕ ПРО PCI DSS?

Наші експерти проконсультують Вас із задоволенням