Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации

О стандарте безопасности платежных системПравить

Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации, в частности:

Visa Europe & other regions: Account Information Security (AIS); Visa USA: Cardholder Information Security (CISP); MasterCard: Site Data Protection (SDP). Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года PCI DSS введен международной платежной системой VISA на территории региона CEMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet должны пройти процедуру аудита на соответствие требованиям Стандарта.

В настоящее время PCI DSS поддерживается всеми крупнейшии карточными системами - VISA, MasterCard, America Express, JCB, Diners Club и Discover.


Основные области контроля и требования безопасности

PCI DSS определяет следующие 6 областей контроля и 12 основных требований по безопасности:

1. Построение и сопровождение защищенной сети:

Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;
Требование 2: не использование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

2. Защита данных держателей карт:

Требование 3: обеспечение защиты данных держателей карт в ходе их хранения;
Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

3. Поддержка программы управления уязвимостями:

Требование 5: использование и регулярное обновление антивирусного программного обеспечения;
Требование 6: разработка и поддержка защищенных систем и приложений.

4. Реализация мер по строгому контролю доступа:

Требование 7: разграничение доступа к данным по принципу служебной необходимости;
Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру;
Требование 9: ограничение физического доступа к данным держателей карт.

5. Регулярный мониторинг и тестирование сети:

Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт;
Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

6. Поддержка политики информационной безопасности:

Требование 12: наличие и исполнение в организации политики информационной безопасности.

Версии стандартаПравить

  • первоначальная версия стандарта - 1.0
  • следующая 1.1 была принята в октябре 2006
  • начиная с 1 декабря 2008 г. актуальна версия 1.2, принятая в октябре того же года
  • малая редакция 1.2.1 была принята в июле 2009 (содержит непринципиальные технические поправки)

Другие Нормативы Информационной БезопасностиПравить

  • PA-DSS - связанный с PCI DSS стандарт, определяющий безопасность разрабатываемых программных продуктов для индустрии кредитных карт для тех случаев, когда эти программные продукты разрабатываются для третьих лиц
  • Стандарт Банка России СТО БР ИББС-1.0-2006 (Россия, 2009).
  • ФСФР — Кодекс корпоративного управления ФСФР (Россия).
  • Basel II (Евросоюз).
  • Закон SOX (США, Sarbanes-Oxley Act of 2002).
  • Соглашение International Convergence of Capital Measurement and Capital Standards, Basel Committee on Banking Supervision.
  • Директива Евросоюза о сохранении данных Data Retention Directive.
  • Правило 17а-4 Комиссии по ценным бумагам США.
  • HIPAA (Health Insurance Portability and Accountability Act of 1996, США).
  • GLBA (США).
  • Combined Code on Corporate Governance (Англия).

СсылкиПравить