Альона Дегрік: Що таке PCI DSS і чому цей сертифікат багато говорить про вас як про учасника транзакційного бізнесу

Питання сек’юрності для учасників платіжного ринку є основним. І в цьому напрямку ключову роль відіграє стандарт безпеки даних PCI DSS. 12 вимог, розроблених міжнародними платіжними системами Mastercard, Visa, American Express, JCB і Discover - основа роботи банків, процесингових центрів та інших структур, пов'язаних зі зберіганням, обробкою та передачею даних про власників карток. Встановлені правила забезпечують безпеку платежів і включають більшість кращих світових практик з підтримки належного рівня безпеки. Як масштабному українському платіжному сервіс-провайдеру, нам без нього ніяк. Сьогодні я розповім, наскільки складно його отримати й чому його рівень говорить про рівень вашої компанії більше, ніж ви думаєте.

PCI DSS для банків і процесингових центрів

Mastercard, Visa, American Express тощо встановлюють свої суворі правила роботи для забезпечення безпеки платежів. Банки й процесингові центри безпосередньо підключені до міжнародних платіжних систем і зобов'язані виконувати всі встановлені ними вимоги. PCI DSS і є однією з них. Без відповідності стандарту ні банки, ні процесингові центри працювати не зможуть. І це очевидно, адже витік даних може призвести до зниження довіри до всієї сфери й колосальних фінансових втрат. Саме тому вимоги до отримання PCI DSS максимально суворі. З ростом індустрії в усьому світі, питання безпеки стає все більш актуальним. Отже й версії стандарту постійно оновлюють, додаючи необхідні вимоги або позбавляючись від зайвого. Так, наприклад, версія 3.2.1 - удосконалений варіант версії 3.2. Він не несе виключно нових вимог або змін.

Для кого ще важливо дотримуватися вимог стандарту?

Крім банків і процесингових компаній відповідати вимогам стандарту необхідно всім компаніям, які будь-яким чином впливають на безпеку даних платіжних карток. Так, наприклад, це стосується ігрових сервісів. Ні для кого не секрет, що ігрова індустрія розвивається неймовірними темпами, генеруючи мільярди доларів прибутку. Сьогодні ігри охоплюють безліч функцій, включаючи покупку віртуальної валюти або внутрішньоігрових предметів у грі за реальні гроші. Відповідно, усі ігрові маркетплейси, які зберігають дані карток для оплати в один клік, мають цей сертифікат. Сюди також відносяться дата-центри, хоча вони напряму ніяк не пов'язані з обробкою даних платіжних карток. Але їх клієнти можуть бути безпосередніми учасниками платіжного ринку, які, в свою чергу, будуть обирати надійних партнерів. Найбільші центри обробки даних мають сертифікати PCI DSS.

Які бувають рівні PCI DSS?

Залежно від кількості оброблюваних транзакцій в рік учасників платіжного ринку поділяють на рівні відповідно до критеріїв класифікацій Visa й MasterCard. Відповідно й вимоги до учасників різних рівнів відрізняються. Сертифікація PCI DSS виокремлює 4 рівня торгово-сервісних підприємств (мерчанти) і 2 рівня постачальників послуг (платіжні системи, дата-центри, хостинг-провайдери тощо). У залежності від типу організації й класифікації за кількістю транзакцій відповідність стандарту PCI DSS підтверджується різними способами аудиту:

• Аудит QSA (Qualified Security Assessor) проводиться за допомогою зовнішньої аудиторської організації, яка сертифікована Радою PCI SSС.


• Аудит ISA (Internal Security Assessor) за допомогою штатного фахівця компанії, який пройшов спеціальне навчання та має сертифікат аудитора Ради PCI SSC.


• Аудит SAQ (Self Assessment Questionnaire) може бути виконаний штатними фахівцями на основі заповнення листа самооцінки.

Рівні торгово-сервісних підприємств:

Рівень 1 підходить торгово-сервісним підприємствам, які обробляють понад 6 млн транзакцій на рік або безпека чиїх даних була раніше поставлена ​​під сумнів. Таким компаніям необхідно щоквартальне зовнішнє сканування вразливостей компонентів інформаційної інфраструктури ASV і щорічний зовнішній аудит QSA або внутрішній аудит ISA.

Рівень 2 передбачений для ТСП, які обробляють від 1 до 6 млн транзакцій на рік. Для таких компаній необхідне щоквартальне ASV-сканування, а також щорічне проведення самооцінки безпеки SAQ (за вимогами Visa) або щорічний зовнішній аудит QSA або внутрішній аудит ISA (за вимогами MasterCard).

Рівень 3 розрахований для торгово-сервісних підприємств, які щорічно обробляють 20 тис - 1 млн транзакцій в галузі електронної торгівлі. Їм необхідно щоквартальне ASV-сканування та проведення самооцінки SAQ щороку.

Рівень 4 підходить ТСП, які обробляють менше 20 тис транзакцій в рік у галузі електронної торгівлі або всі інші ТСП. Для них обов'язково щоквартальне ASV-сканування та самооцінка SAQ щорічно.

Рівні постачальників послуг:

У даному випадку критерії визначення постачальника послуг і вимоги до нього не залежать від конкретної платіжної системи.

Рівень 1 відноситься до всіх процесингових центрів і постачальників послуг, які обробляють, зберігають або передають дані про понад 300 тис транзакцій в рік. Таким компаніям потрібно проведення щоквартального зовнішнього сканування вразливостей компонентів інформаційної інфраструктури ASV і щорічний QSA-аудит.

Рівень 2 створений для постачальників послуг, які обробляють, зберігають або передають дані про менш ніж 300 тис транзакцій в рік. Їм необхідно щоквартальне ASV-сканування й щорічне проведення самооцінки безпеки SAQ.