PCI DSS

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 31 martie 2020; verificările necesită 16 modificări .

Payment Card Industry Data Security Standard (PCI DSS) (din engleză „standardul de securitate al industriei cardurilor de plată”) este un standard de securitate a datelor cardurilor de plată stabilit de sistemele internaționale de plată Visa , MasterCard , American Express , JCB și Discover . [1] Standardele de securitate PCI sunt concepute pentru a proteja datele de plată pe tot parcursul ciclului de viață al unei plăți și pentru a oferi soluții tehnologice care devalorizează datele respective și, prin urmare, descurajează infractorii să le fure. [2]

Despre standardul de securitate a datelor din industria cardurilor de plată

Conformitatea cu cerințele PCI DSS implică o abordare cuprinzătoare pentru asigurarea securității informațiilor privind datele cardurilor de plată. [3] Necesitatea conformității cu PCI DSS este stabilită de operatorii de sisteme de plată ca parte a propriilor programe de securitate.

De exemplu:

• MasterCard are  Site Data Protection ( SDP );
• Visa în SUA are  Cardholder Information Security ( CISP );
• Visa în Europa are  securitatea informațiilor contului ( AIS ).

Toate organizațiile care stochează, transferă sau procesează datele de card ale acestor sisteme de plată trebuie să respecte cerințele PCI DSS. De asemenea, sistemele de plată stabilesc reguli pentru confirmarea conformității cu PCI DSS. [3]

Sistemele naționale (locale) de plată pot specifica, de asemenea, cerințele pentru conformitatea cu PCI DSS în programele lor de securitate și pot stabili cerințe pentru schema de confirmare a conformității. De exemplu, în sistemul de plăți „ Mir ” necesitatea conformității cu PCI DSS este definită în Standardul PS „Mir” „Programul de securitate”. [4] Programul definește, de asemenea, nivelurile organizaționale și cerințele de raportare.

Din septembrie 2006, standardul a fost introdus de sistemul internațional de plăți Visa în regiunea CEMEA ( Europa Centrală și de Est , Orientul Mijlociu și Africa ) ca obligatoriu, respectiv, efectul său se aplică și Rusiei . Prin urmare, furnizorii de servicii ( centre de procesare , gateway-uri de plată , furnizori de internet ) care lucrează direct cu VisaNet trebuie să fie supuși unei proceduri de audit pentru conformitatea cu cerințele standardului.

Din 2012, certificarea a devenit obligatorie pentru toate organizațiile care lucrează cu carduri bancare. [5]

Declarație de conformitate PCI DSS

Diferite sisteme de plată internaționale au cerințe diferite pentru procesul de verificare a conformității cu cerințele PCI DSS.

De obicei, schemele de confirmare variază pentru organizații, în funcție de numărul de tranzacții cu cardul procesate. Fiecărei organizații i se atribuie un anumit nivel cu un set corespunzător de cerințe pe care trebuie să le îndeplinească. Ca parte a cerințelor sistemelor de plată, sunt prevăzute audituri anuale ale organizațiilor pentru conformitatea cu PCI DSS sau autoevaluare.

Sunt disponibile următoarele metode pentru a verifica conformitatea cu cerințele PCI DSS:

• audit QSA extern ( ing. ) efectuat de o companie PCI QSA la unitatea organizației auditate;
• autoevaluare efectuată de organizația însăși cu completarea unei fișe de autoevaluare ( SAQ ).

Metoda de verificare a conformității sau combinația de metode este selectată în funcție de nivelul comerciantului sau al furnizorului de servicii.

Niveluri de comerț și întreprinderi de servicii

O întreprindere de comerț și servicii (TSE) este o organizație care acceptă carduri de plată ca plată pentru bunuri sau servicii vândute. Exemple de întreprinderi comerciale și de servicii sunt magazinele, restaurantele, hotelurile și magazinele online.

Conform clasificării Visa:

Nivelul 1:

• Comercianți care procesează peste 6 milioane de tranzacții pe an.

Cerințe pentru evaluarea conformității:

• un audit anual efectuat de auditorul QSA la unitatea organizației;
• scanare trimestrială ASV.

Nivelul 2:

• Comercianții care procesează de la 1 până la 6 milioane de tranzacții pe an.

Cerințe pentru evaluarea conformității:

• autoevaluare anuală cu completarea unui chestionar (SAQ);
• scanare trimestrială ASV.

Nivelul 3:

• Comercianți care procesează între 20.000 și 1 milion de tranzacții pe an folosind instrumente de comerț electronic .

Cerințe pentru evaluarea conformității:

• autoevaluare anuală cu completarea unui chestionar (SAQ);
• scanare trimestrială ASV.

Nivelul 4:

• Comercianții care procesează până la 20.000 de tranzacții pe an folosind instrumente de comerț electronic, precum și alți comercianți care procesează până la 1 milion de tranzacții pe an.

Cerințe pentru evaluarea conformității:

• se recomandă o autoevaluare anuală a conformității cu completarea unui chestionar;
• scanare ASV trimestrială recomandată;
• cerințele sunt determinate de banca achizitoare.

Conform clasificării MasterCard:

Nivelul 1:

• Comercianți care procesează peste 6 milioane de tranzacții pe an.
• Comercianți prin sistemele cărora datele deținătorilor de card au fost compromise;
• Comercianți clasificați de sistemul internațional de plăți Visa la Nivelul 1;
• Comercianți clasificați direct de sistemul internațional de plăți MasterCard la nivelul 1.

Cerințe pentru evaluarea conformității:

• un audit anual efectuat de auditorul QSA la unitatea organizației;
• scanare trimestrială ASV.

Nivelul 2:

• Comercianți care procesează de la 1 până la 6 milioane de tranzacții pe an;
• Comercianți clasificați de sistemul internațional de plăți Visa la nivelul 2.

Cerințe pentru evaluarea conformității:

• un audit anual efectuat de auditorul QSA la unitatea organizației;
• scanare trimestrială ASV.

Nivelul 3:

• Comercianți care procesează între 20.000 și 1 milion de tranzacții pe an folosind instrumente de comerț electronic.
• Comercianți clasificați de sistemul internațional de plăți Visa la nivelul 3.

Cerințe pentru evaluarea conformității:

• autoevaluare anuală cu completarea unui chestionar (SAQ);
• scanare trimestrială ASV.

Nivelul 4:

• Toate celelalte TSP-uri

Cerințe pentru evaluarea conformității:

• se recomandă o autoevaluare anuală a conformității cu completarea unui chestionar;
• scanare ASV trimestrială recomandată;
• cerințele sunt determinate de banca achizitoare.

Nivelurile furnizorilor de servicii

Furnizorii de servicii sunt organizații care furnizează diverse servicii, în principal în domeniul tehnologiei informației , comercianților, băncilor și emitenților cumpărători și direct sistemelor internaționale de plată. În același timp, organizația - furnizorul de servicii - are acces la datele despre deținătorii de carduri. Exemple de furnizori de servicii sunt centrele de procesare , gateway-urile de plată, centrele de date, furnizorii de servicii de tokenizare și criptare punct la punct ( P2PE ).

Conform clasificării Visa:

Nivelul 1:

• Toate centrele de procesare conectate la VisaNet;
• Furnizori de servicii care procesează, stochează sau transmit peste 300.000 de tranzacții pe an.

Cerințe pentru evaluarea conformității:

• un audit anual efectuat de auditorul QSA la unitatea organizației;
• scanare trimestrială ASV.

Nivelul 2:

• Furnizorii de servicii care procesează, stochează sau transmit mai puțin de 300.000 de tranzacții pe an.

Cerințe pentru evaluarea conformității:

• autoevaluare anuală cu completarea unui chestionar (SAQ);
• scanare trimestrială ASV.

Conform clasificării MasterCard:

Nivelul 1:

• Toate centrele de procesare
• Furnizori de servicii care procesează, stochează sau transmit peste 300.000 de tranzacții pe an.
• Toate centrele de procesare și furnizorii de servicii prin ale căror sisteme datele deținătorilor de card au fost compromise.

Cerințe de certificare:

• un audit anual efectuat de auditorul QSA la unitatea organizației;
• scanare trimestrială ASV.

Nivelul 2:

• Furnizorii de servicii care procesează, stochează sau transmit mai puțin de 300.000 de tranzacții pe an.

Cerințe pentru evaluarea conformității:

• autoevaluare anuală cu completarea unui chestionar (SAQ);
• scanare trimestrială ASV.

Companii de audit PCI QSA

După cum se poate observa din clasificare, certificarea la cele mai înalte niveluri trebuie efectuată de o companie de audit cu statut de Evaluator de Securitate Calificat (PCI QSA). Pentru alte niveluri, implicarea QSA nu este o cerință obligatorie. Cu toate acestea, QSA poate oferi servicii de consultanță pentru orice nivel de evaluare a conformității. .

Companii de audit PCI PA-QSA

Există un standard de securitate PCI DSS asociat pentru aplicațiile de plată - Aplicația de plată pentru industria cardurilor de plată - Standardul de securitate a datelor (PCI PA-DSS). Producătorii de software implicați în procesarea tranzacțiilor de plată trebuie să certifice aplicațiile conform standardului PA-DSS. Conform cerințelor sistemelor internaționale de plată Visa și MasterCard, toți comercianții și furnizorii de servicii , începând cu 1 iulie  2012, trebuie să utilizeze numai aplicații de plată certificate conform standardului PA-DSS. Controlul îndeplinirii acestei cerințe este atribuit băncilor achizitoare. Certificarea aplicației de plată conform standardului PA-DSS poate fi efectuată de companii cu statut PCI PA-QSA .

Cerințe PCI DSS

PCI DSS definește următoarele șase zone de control și 12 cerințe de bază de securitate.

Construirea și menținerea unei rețele securizate

• Cerința 1: Instalați și mențineți firewall -uri pentru a proteja datele deținătorilor de card.
• Cerința 2: neutilizarea parolelor de sistem implicite de producător și a altor setări de securitate.

Protejarea datelor deținătorului cardului

• Cerința 3: Asigurarea că datele deținătorului cardului sunt protejate în timpul stocării.
• Cerința 4: Criptarea datelor deținătorului de card în tranzit prin rețele publice.

Suport program de management al vulnerabilităților

• Cerința 5: Utilizați și actualizați în mod regulat software-ul antivirus .
• Cerința 6: Dezvoltați și mențineți sisteme și aplicații securizate.

Implementarea măsurilor stricte de control al accesului

• Cerința 7: Restricționați accesul la datele deținătorului cardului în funcție de necesitatea de a cunoaște.
• Cerința 8: Atribuiți un identificator unic fiecărei persoane care are acces la infrastructura informațională.
• Cerința 9: Restricționați accesul fizic la datele deținătorului cardului.

Monitorizare și testare regulată a rețelei

• Cerința 10: Controlați și urmăriți întregul acces la resursele de rețea și datele deținătorului cardului.
• Cerința 11: testarea regulată a sistemelor și proceselor de securitate.

Suport pentru politica de securitate a informațiilor

• Cerința 12: Dezvoltați, mențineți și aplicați o politică de securitate a informațiilor.

Versiuni ale standardului PCI DSS

Consiliul PCI SSC urmează un ciclu standard de actualizare de trei ani. Primul an este introducerea standardului în industrie, al doilea an este colectarea de feedback sub formă de comentarii și dorințe de la participanții din industria cardurilor de plată, al treilea an este pregătirea unei noi versiuni a standardului . Între etape au loc conferințe PCI SSC Community Meeting, care constau în sesiuni americane și europene. În cadrul conferințelor, organizațiile participante, sistemele internaționale de plată, consultanții și QSA-urile, precum și comercianții și furnizorii de servicii discută viitorul standardului și al documentelor aferente.

Istoricul modificărilor standard:

• 1.0 este versiunea originală a standardului.
• 1.1 - adoptat în septembrie 2006 .
• 1.2 - adoptat în octombrie 2008 .
• 1.2.1, ediție minoră - adoptată în iulie 2009 ; conţine modificări tehnice minore.
• 2.0 - adoptat în octombrie 2010 .
• 3.0 - adoptat în noiembrie 2013 .
• 3.1 - adoptat în aprilie 2015 .
• 3.2 - adoptat în aprilie 2016. Abrogat la 31 decembrie 2018.
• 3.2.1 - adoptat în 2018.
• 4.0 - adoptat în martie 2022. [6] Versiunea actuală a PCI DSS, v3.2.1, va fi valabilă până la 31 martie 2024.

Note

1. ↑ Ce este PCI DSS (Payment Card Industry Data Security Standard)? - Definiție din WhatIs.com  (engleză) . SearchSecurity . Data accesului: 16 septembrie 2022.
2. ↑ Standarde  _  _ . Consiliul pentru Standarde de Securitate PCI . Data accesului: 16 septembrie 2022.  (nedefinit)
3. ↑ 1 2  Întrebare frecventă  ? . Consiliul pentru Standarde de Securitate PCI . Data accesului: 16 septembrie 2022.  (nedefinit)
4. ↑ Program de securitate . (Rusă)
5. ↑ Standardul PCI DSS: ce este, cerințe, cum să obțineți un certificat . itglobal.com . Data accesului: 16 septembrie 2022. (Rusă)
6. ↑ Securizarea viitorului plăților: PCI SSC publică PCI Data Security Standard   v4.0 ? . Consiliul pentru Standarde de Securitate PCI . Data accesului: 16 septembrie 2022.  (nedefinit)

Link -uri

• Consiliul  pentru Standarde de Securitate PCI .
• Comunitatea profesională PCI DSS .
• Trimestrial de instruire PCI DSS .