Алёна Дегрик: Что такое PCI DSS и почему этот сертификат многое говорит о вас как об участнике транзакционного бизнеса

Вопрос секьюрности для участников платежного рынка является основополагающим. И в этом направлении ключевую роль играет стандарт безопасности данных PCI DSS. 12 требований, разработанных международными платежными системами Mastercard, Visa, American Express, JCB и Discover - основа работы банков, процессинговых центров и других структур, связанных с хранением обработкой и передачей данных о держателях карт. Установленные правила обеспечивают безопасность платежных данных и включают большинство лучших мировых практик по поддержанию должного уровня безопасности. Как масштабному украинскому платежному сервис-провайдеру, нам без него никак. Сегодня я расскажу, насколько сложно его получить и почему его уровень говорит об уровне вашей компании больше, чем вы думаете.

PCI DSS для банков и процессинговых центров

Mastercard, Visa, American Express и т.д. устанавливают свои строгие правила работы для обеспечения безопасности платежей.  Банки и процессинговые центры напрямую подключены к международным платежным системам и обязаны выполнять все установленные ими требования. PCI DSS и есть одним из них. Без соответствия стандарту ни банки, ни процессинговые центры работать не смогут. И это очевидно, ведь утечка данных может привести к снижению доверия ко всей сфере и колоссальным финансовым потерям. Именно поэтому требования к получению PCI DSS максимально строгие. С ростом индустрии во всем мире, вопрос безопасности становится все более актуальным.  Следовательно, и версии стандарта постоянно обновляют, добавляя необходимые требования или избавляясь от лишнего. Так, например, версия 3.2.1 - усовершенствованный вариант версии 3.2. Он не несет исключительно новых требований или изменений.

Кому еще важно соответствовать стандарту?

Помимо банков и процессинговых компаний соответствовать требованиям стандарта необходимо всем компаниям, которые каким-либо образом влияют на безопасность данных платежных карт. Так, например, это касается игровых сервисов. Ни для кого не секрет, что игровая индустрия развивается невероятными темпами, генерируя миллиарды долларов прибыли. Сегодня игры охватывают множество функций, включая покупку виртуальной валюты или внутриигровых предметов в игре за реальные деньги. Соответственно, все игровые маркетплейсы, которые хранят данные карт для оплаты в один клик, имеют этот сертификат.  Сюда также относятся дата-центры, хотя они напрямую никак не связаны с обработкой данных платежных карт. Но их клиенты могут быть непосредственными участниками платежного рынка, которые, в свою очередь, будут выбирать надежных партнеров. Крупнейшие центры обработки данных имеют сертификаты PCI DSS.

Какие бывают уровни PCI DSS?

В зависимости от количества обрабатываемых транзакций в год участников платежного рынка разделяют на уровни согласно классификациям Visa и MasterCard. Соответственно и требования к участникам разных уровней отличаются.

Сертификация PCI DSS определяет 4 уровня торгово-сервисных предприятий (мерчаты) и 2 уровня поставщиков услуг (платежные системы, дата-центры, хостинг-провайдеры и тд). В зависимости от типа организации и классификации по количеству транзакций соответствие стандарту PCI DSS подтверждается различными способами аудита:

• Аудит QSA (Qualified Security Assessor) проводится с помощью внешней аудиторской организацией, которая сертифицирована Советом PCI SSС.


• Аудит ISA (Internal Security Assessor) с помощью штатного специалиста компании, который прошел специальное обучение и имеет сертификат аудитора Совета PCI SSC.


• Аудит SAQ (Self Assessment Questionnaire) может быть выполнен штатными специалистами на основе заполнения листа самооценки.

Уровни торгово-сервисных предприятий:

Уровень 1 подходит торгово-сервисным предприятиям, которые обрабатывают более 6 млн транзакций в год или сохранность чьих данных была раньше поставлена под сомнение. Таким компаниям необходимо ежеквартальное внешнее сканирование уязвимостей компонентов информационной инфраструктуры ASV и ежегодный внешний аудит QSA или внутренний аудит ISA.

Уровень 2 предусмотрен для ТСП, которые обрабатывают от 1 до 6 млн транзакций в год. Для таких компаний необходимо ежеквартальное ASV-сканирование, а также ежегодное проведение самооценки безопасности SAQ (по требованиям Visa) или ежегодный внешний аудит QSA или внутренний аудит ISA (по требованиям MasterCard).

Уровень 3 рассчитан для торгово-сервисных предприятий, ежегодно обрабатывающих 20 тыс - 1 млн транзакций в области электронной торговли. Им необходимо ежеквартальное ASV-сканирование и проведение самооценки SAQ каждый год.

Уровень 4 подходит ТСП, которые обрабатывают менее 20 тыс транзакций в год в области электронной торговли или все остальные ТСП. Для них обязательно ежеквартальное ASV-сканирование и самооценка SAQ ежегодно.

Уровни поставщиков услуг:

В данном случае определение поставщика услуг и требования  к нему не зависят от конкретной платежной системы.

Уровень 1 относится ко всем процессинговым центрам и поставщикам услуг, которые обрабатывают, хранят или передают данные о более 300 тыс транзакций в год. Таким компаниям нужно проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV и ежегодный QSA-аудит.

Уровень 2 создан для поставщиков услуг, которые обрабатывают, хранят или передают данные о менее 300 тыс транзакций в год. Им необходимо ежеквартальное  ASV-сканирование и ежегодное проведение самооценки безопасности SAQ.