Сейчас весь цивилизованный мир использует пластиковые карты и знакомы и с Visa и с MasterCard. Это удобно и безопасно. А защищенность обеспечивает стандарт PCI DSS. Эта аббревиатура трактуется как стандарт защищенности информации платежных карт. Этому стандарту обязаны отвечать все участники рынка услуг, которые так или иначе воздействуют на защищенность данных этих платежных карт. От всех торговых компаний требуют подтверждения выполнения детализированных требований PCI DSS (т.е. наличие сертификата).
PCI DSS – задачи?
PCI DSS – это набор детализированных правил для гарантии защищенности информации, содержащейся на пластиковой карте. Главная задача – обеспечение защищенности на каждом этапе действий с платёжной картой и эти требования предъявляются ко всем компаниям вне зависимости от их величины и числа производимых бизнес-процессов с данными платежных карт.
Сертификация PCI DSS.
Для получения сертификата PCI DSS требуется выполнение 12 пунктов конкретных правил по защищенности информации. А для того, чтобы определиться с надобностью прохождения сертификации PCI DSS, подумайте – осуществляет ли ваша компания сбережение, обработку или передачу информации платежных карт и может ли воздействовать своей деятельностью на их безопасность. Конечно, если всё эти процессы вам чужды, значит получение этого сертификата не обосновано.
Чтобы удостоверить свое соответствие правилам PCI DSS, проводится:
- Внешний аудит – проводится аудиторской компанией, имеющей сертификацию Совета PCI DSS;
- Внутренний аудит – проводится специалистом-аудитором, имеющим соответствующую сертификацию;
- Проведение самоанализа – выполняется посредством самостоятельного заполнения «листа самоанализа».
Что такое уровень сертификации PCI DSS?
Основным моментом в получении сертификата выделяют два уровня для поставщиков услуг и четыре уровня торговых компаний. Уровень присваивается в зависимости от числа производимых торговых операций с любыми картами за год. И от присвоенного уровня зависит периодичность подтверждения соответствия PCI DSS. Это может быть ежеквартально и (или) ежегодно.
PCI DSS хостинг
Этот сервис обеспечивает защищенность данных при размещении своих структур в части провайдера, внутри которой происходит обработка данных платежных карт. Интересно что, выбрав этот сервис, вопрос о выполнении части требований стандарта PCI DSS решается сам собой. Ведь провайдер выполненил свою часть требований. Конечно, эффективнее привлечь того, кто выполнил свою часть сертификации. Это экономически оправдано и сократит заказчикам время на подтверждение соответствия правилам и на пояснительную документацию, часть которой уже выполнена у провайдера.
About The Author
Виктор Карабедянц
ИТ директор (CIO), руководитель нескольких DevOps команд. Профессиональный руководитель проектов по внедрению, поддержке ИТ систем и обслуживанию пользователей.