Что такое PCI DSS и как соответствовать этому стандарту, принимая онлайн-платежи

Во многих странах организации, принимающие онлайн-оплату, обязаны регулярно проходить сертификацию на соответствие PCI DSS. И Россия — не исключение. Нужно ли проходить сертификацию вашей компании и как это делается — расскажем в этой статье.

Примерно каждые 39 секунд в мире совершается одна хакерская атака. Жертвами злоумышленников становятся не только крупные корпорации — более 40% кибератак направлены на малый бизнес. Чтобы усложнить работу мошенникам и хакерам, ИТ-индустрия разрабатывает специальные стандарты. Следование этим стандартам помогает компаниям защитить их инфраструктуру, сети и персональные данные пользователей. Например, данные клиентов Robokassa находятся в безопасности, потому что наш сервис соответствует требованиям стандарта PCI DSS.

Стандарту PCI DSS должны следовать все организации, которые хранят или передают данные хотя бы одной банковской карты. Он описывает меры для защиты таких данных и необходимые требования к ИТ-инфраструктуре компании.

Первую редакцию стандарта приняли Visa, MasterCard и несколько других американских платежных систем в 2004 году. На российский рынок PCI DSS пришел в 2006-м, после того, как его действие расширили на страны Центральной и Восточной Европы. Перевод документации на русский появился позднее — с выходом PCI DSS v2.0.

Стандарт не закреплен на законодательном уровне ни в одном государстве. Контроль осуществляют Visa и MasterCard — они отвечают за санкции и штрафы. Однако отдельные требования PCI DSS можно встретить в различных правовых документах. Так, американском штате Миннесота с 2007 года действует Plastic Card Security Act, запрещающий бизнесу хранение PIN-кодов карт клиентов. Если говорить о России, то стандарт во многом соответствует положению ЦБ РФ 382-П от 2012 года. Оно касается защиты информации при переводе денежных средств.


Требования стандарта

PCI DSS предъявляет двенадцать основных требований безопасности. Их можно объединить в шесть групп. Компании, внедрившие стандарт, обязаны:

  • Защищать корпоративные сети. Настроить файрволы и заменить все пароли, установленные производителем сетевого оборудования.

  • Защищать данные карт. Внедрить шифрование и осуществлять передачу данных карт по сети с помощью протокола TLS 1.1 (или выше).

  • Своевременно закрывать уязвимости. Устанавливать обновления для используемых программ и корпоративных антивирусов.

  • Контролировать доступ к хранилищу. Ограничить круг сотрудников, имеющих доступ к месту физического хранения данных.

  • Установить политики информационной безопасности. Проверить соответствие им и продумать алгоритм действий при взломе.

  • Мониторить инфраструктуру. Плюс проводить регулярное тестирование всех систем, отвечающих за информационную безопасность.



Ответственность за нарушение

Платёжные системы устанавливают штрафы за несоблюдение требований PCI DSS. Сумма зависит от типа компании (торговое предприятие или поставщик услуг), объёмов проводимых транзакций и повторяемости нарушения. За первый проступок Visa может назначить штраф в 50 тыс. долларов, за третий — уже 200 тыс. Санкции накладывают ежемесячно вплоть до устранения несоответствий.

Невыполнение требований PCI DSS также может рассматриваться как нарушение законов о защите персональных данных. Они зависят от юрисдикции, в которой фирма осуществляет деятельность: в Европе действует GDPR, в России — 152-ФЗ «О персональных данных» (помимо него может применяться КоАП РФ — пункт 6 статьи 13.12 «Нарушение правил защиты информации» и статья 15.36 «Неисполнение оператором платежной системы требований законодательства РФ о национальной платежной системе»).



Процесс сертификации

Способ сертификации зависит от объема обрабатываемых транзакций. Если он не превышает 20 тысяч платежей в год, можно провести аудит, заполнив опросный лист самооценки. Если число транзакций больше, нужно обращаться к сертифицированной организации. Она проведет проверку в три этапа:

  1. Теоретическая часть. Аудиторы оценят качество и актуальность политик информационной безопасности, их применимость на практике.

  2. Оценка ИТ-инфраструктуры. Специалисты проведут серию пентестов, симулируя атаки на корпоративную сеть. Сюда входит проверка работы файрволов, антивирусов и другого программного обеспечения компании.

  3. Составление отчетов. Если фирма успешно прошла все тесты, она получит сертификат соответствия PCI DSS. В ином случае аудиторы предоставят отчет о нарушениях, которые необходимо устранить. Если они обнаружат серьезные отклонения от требований стандарта, то даже после исправления ситуации весь процесс аудита потребуется пройти повторно.



Альтернативный подход

Сертификацию PCI DSS можно не проходить, если работать с поставщиком платежных сервисов. Это — компания, которая выступает посредником между продавцом (онлайн-магазином или индивидуальным предпринимателем) и банком. Она отвечает за проведение безналичных платежей через интернет.

Поставщики платежных услуг берут на себя вопросы, связанные с обработкой данных банковских карт, а значит — и сертификацией PCI DSS. Поэтому их клиенты освобождаются от необходимости проходить аудит. Им остается следить за тем, чтобы сертификат соответствия PCI DSS у платежного сервиса регулярно обновлялся.

Robokassa подтверждает статус соответствия стандартам PCI DSS каждый год.




Остались вопросы?

Мы работаем круглосуточно
Звоните: 8-800-500-25-57