Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации, в частности:

  • Visa Europe & other regions: Account Information Security (AIS);
  • Visa USA: Cardholder Information Security (CISP);
  • MasterCard: Site Data Protection (SDP).

Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный Уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года PCI DSS введен международной платежной системой VISA на территории региона EMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet должны пройти процедуру аудита на соответствие требованиям Стандарта.

PCI DSS, определяет следующие 6 областей контроля и 12 основных требований по безопасности:

1. Построение и сопровождение защищенной сети:

  • Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;
  • Требование 2: не использование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

2. Защита данных держателей карт:

  • Требование 3: обеспечение защиты данных держателей карт в ходе их хранения;
  • Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

3. Поддержка программы управления уязвимостями:

  • Требование 5: использование и регулярное обновление антивирусного программного обеспечения;
  • Требование 6: разработка и поддержка защищенных систем и приложений.

4. Реализация мер по строгому контролю доступа:

  • Требование 7: разграничение доступа к данным по принципу служебной необходимости;
  • Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру;
  • Требование 9: ограничение физического доступа к данным держателей карт.

5. Регулярный мониторинг и тестирование сети:

  • Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт;
  • Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

6. Поддержка политики информационной безопасности:

  • Требование 12: наличие и исполнение в организации политики информационной безопасности.
Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x