Payment Card Industry Data Security Standard (PCI DSS) — стандарт безпеки даних індустрії платіжних карток, розроблений Радою зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами Visa, MasterCard, American Express, JCB і Discover. Стандарт являє собою сукупність 12 деталізованих вимог щодо забезпечення безпеки даних про власників платіжних карток, які передаються, зберігаються і обробляються в інформаційних інфраструктурах організацій. Прийняття відповідних заходів щодо забезпечення відповідності вимогам стандарту представляє комплексний підхід до забезпечення інформаційної безпеки даних платіжних карток.
Вимоги стандарту PCI DSS
З моменту свого створення PCI DSS пройшов кілька ітерацій, щоб не відставати від змін у контексті мережевих загроз. Зараз стандарт PCI складається з 6 розділів, які поділяються на 12 основних вимог.
1.Створення та підтримка безпечної мережі
- Встановлення та підтримка конфігурацій брандмауера для захисту даних власників карток;
- Невикористання наданих постачальником параметрів за замовчуванням для системних паролів та інших параметрів безпеки;
2. Захист даних власників карток
- Захист збережених даних про власників карток;
- Шифрування передачі даних про власників картки через відкриті загальнодоступні мережі;
3. Підтримка програми керування вразливістю
- Використання та регулярне оновлення антивірусного програмного забезпечення та додатків;
- Розробка та обслуговування безпечних систем та додатків;
4. Впровадження жорстких заходів контролю доступу
- Обмеження доступу до даних власника картки за принципом «необхідність для бізнесу»;
- Призначення унікального ідентифікатора кожній людині з доступом до комп’ютера;
- Обмеження фізичного доступу до даних власника картки;
5. Регулярна перевірка та тестування мережі
- Відстеження та контроль всіх доступів до мережевих ресурсів і даних власників карток;
- Регулярне тестування систем та процесів безпеки;
6. Дотримання політики інформаційної безпеки
- Підтримання політики безпеки інформації для співробітників і підрядників.
Підтверження відповідності PCI DSS
Різні міжнародні платіжні системи пред'являють різні вимоги до процесу підтвердження відповідності вимогам PCI DSS. Зазвичай, схеми підтвердження варіюються для організацій залежно кількості оброблюваних карткових транзакцій. Кожній організації надається певний рівень з відповідним набором вимог, які вони повинні виконувати. У рамках вимог платіжних систем передбачаються щорічні аудиторські перевірки організацій щодо відповідності PCI DSS () чи проведення самооцінки (SAQ).
Рівні відповідності PCI DSS
Існує чотири рівні відповідності PCI DSS:
- Рівень 1 поширюється на організації, які щорічно обробляють понад 6 мільйонів карткових операцій.
- Рівень 2 поширюється на організації, які обробляють від 1 до 6 мільйонів транзакцій на рік.
- Рівень 3 поширюється на організації, які обробляють від 20 тисяч до 1 мільйона транзакцій на рік.
- Рівень 4 поширюється на організації, які обробляють до 20 тисяч транзакцій на рік.
Версії стандарту PCI DSS
1.0 - початкова версія стандарту.
1.1 – прийнята у вересні 2006 року.
1.2 – прийнята у жовтні 2008 року.
1.2.1, мала редакція – прийнята у липні 2009 року; містить незначні технічні виправлення.
2.0 – прийнята у жовтні 2010 року.
3.0 – прийнята у листопаді 2013 року.
3.1 – прийнята у квітні 2015 року.
3.2 – прийнята у квітні 2016 року. Втратила чинність 31 грудня 2018 року.
3.2.1 – прийнята у 2018.
4.0 – прийнята у березні 2022 року. Поточна версія PCI DSS, v3.2.1 діятиме до 31 березня 2024 року.
Примітки
- Frequently Asked Question. PCI Security Standards Council (амер.). Процитовано 21 вересня 2022.
- Standards. PCI Security Standards Council (амер.). Процитовано 21 вересня 2022.
- The 12 PCI DSS Compliance Requirements: What You Need to Know. www.auditboard.com (амер.). Процитовано 21 вересня 2022.
- Irwin, Luke (6 вересня 2022). A guide to the PCI DSS compliance levels. IT Governance Blog En (брит.). Процитовано 21 вересня 2022.
- Securing the Future of Payments: PCI SSC Publishes PCI Data Security Standard v4.0. PCI Security Standards Council (амер.). Процитовано 21 вересня 2022.
Посилання
- PCI Security Standards Council [ 2 вересня 2019 у Wayback Machine.] (англ.)
Це незавершена стаття про безпеку. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Payment Card Industry Data Security Standard PCI DSS standart bezpeki danih industriyi platizhnih kartok rozroblenij Radoyu zi standartiv bezpeki industriyi platizhnih kartok Payment Card Industry Security Standards Council PCI SSC zasnovanoyu mizhnarodnimi platizhnimi sistemami Visa MasterCard American Express JCB i Discover Standart yavlyaye soboyu sukupnist 12 detalizovanih vimog shodo zabezpechennya bezpeki danih pro vlasnikiv platizhnih kartok yaki peredayutsya zberigayutsya i obroblyayutsya v informacijnih infrastrukturah organizacij Prijnyattya vidpovidnih zahodiv shodo zabezpechennya vidpovidnosti vimogam standartu predstavlyaye kompleksnij pidhid do zabezpechennya informacijnoyi bezpeki danih platizhnih kartok Vimogi standartu PCI DSS Z momentu svogo stvorennya PCI DSS projshov kilka iteracij shob ne vidstavati vid zmin u konteksti merezhevih zagroz Zaraz standart PCI skladayetsya z 6 rozdiliv yaki podilyayutsya na 12 osnovnih vimog 1 Stvorennya ta pidtrimka bezpechnoyi merezhi Vstanovlennya ta pidtrimka konfiguracij brandmauera dlya zahistu danih vlasnikiv kartok Nevikoristannya nadanih postachalnikom parametriv za zamovchuvannyam dlya sistemnih paroliv ta inshih parametriv bezpeki 2 Zahist danih vlasnikiv kartok Zahist zberezhenih danih pro vlasnikiv kartok Shifruvannya peredachi danih pro vlasnikiv kartki cherez vidkriti zagalnodostupni merezhi 3 Pidtrimka programi keruvannya vrazlivistyu Vikoristannya ta regulyarne onovlennya antivirusnogo programnogo zabezpechennya ta dodatkiv Rozrobka ta obslugovuvannya bezpechnih sistem ta dodatkiv 4 Vprovadzhennya zhorstkih zahodiv kontrolyu dostupu Obmezhennya dostupu do danih vlasnika kartki za principom neobhidnist dlya biznesu Priznachennya unikalnogo identifikatora kozhnij lyudini z dostupom do komp yutera Obmezhennya fizichnogo dostupu do danih vlasnika kartki 5 Regulyarna perevirka ta testuvannya merezhi Vidstezhennya ta kontrol vsih dostupiv do merezhevih resursiv i danih vlasnikiv kartok Regulyarne testuvannya sistem ta procesiv bezpeki 6 Dotrimannya politiki informacijnoyi bezpeki Pidtrimannya politiki bezpeki informaciyi dlya spivrobitnikiv i pidryadnikiv Pidtverzhennya vidpovidnosti PCI DSS Rizni mizhnarodni platizhni sistemi pred yavlyayut rizni vimogi do procesu pidtverdzhennya vidpovidnosti vimogam PCI DSS Zazvichaj shemi pidtverdzhennya variyuyutsya dlya organizacij zalezhno kilkosti obroblyuvanih kartkovih tranzakcij Kozhnij organizaciyi nadayetsya pevnij riven z vidpovidnim naborom vimog yaki voni povinni vikonuvati U ramkah vimog platizhnih sistem peredbachayutsya shorichni auditorski perevirki organizacij shodo vidpovidnosti PCI DSS chi provedennya samoocinki SAQ Rivni vidpovidnosti PCI DSS Isnuye chotiri rivni vidpovidnosti PCI DSS Riven 1 poshiryuyetsya na organizaciyi yaki shorichno obroblyayut ponad 6 miljoniv kartkovih operacij Riven 2 poshiryuyetsya na organizaciyi yaki obroblyayut vid 1 do 6 miljoniv tranzakcij na rik Riven 3 poshiryuyetsya na organizaciyi yaki obroblyayut vid 20 tisyach do 1 miljona tranzakcij na rik Riven 4 poshiryuyetsya na organizaciyi yaki obroblyayut do 20 tisyach tranzakcij na rik Versiyi standartu PCI DSS 1 0 pochatkova versiya standartu 1 1 prijnyata u veresni 2006 roku 1 2 prijnyata u zhovtni 2008 roku 1 2 1 mala redakciya prijnyata u lipni 2009 roku mistit neznachni tehnichni vipravlennya 2 0 prijnyata u zhovtni 2010 roku 3 0 prijnyata u listopadi 2013 roku 3 1 prijnyata u kvitni 2015 roku 3 2 prijnyata u kvitni 2016 roku Vtratila chinnist 31 grudnya 2018 roku 3 2 1 prijnyata u 2018 4 0 prijnyata u berezni 2022 roku Potochna versiya PCI DSS v3 2 1 diyatime do 31 bereznya 2024 roku PrimitkiFrequently Asked Question PCI Security Standards Council amer Procitovano 21 veresnya 2022 Standards PCI Security Standards Council amer Procitovano 21 veresnya 2022 The 12 PCI DSS Compliance Requirements What You Need to Know www auditboard com amer Procitovano 21 veresnya 2022 Irwin Luke 6 veresnya 2022 A guide to the PCI DSS compliance levels IT Governance Blog En brit Procitovano 21 veresnya 2022 Securing the Future of Payments PCI SSC Publishes PCI Data Security Standard v4 0 PCI Security Standards Council amer Procitovano 21 veresnya 2022 PosilannyaPCI Security Standards Council 2 veresnya 2019 u Wayback Machine angl Ce nezavershena stattya pro bezpeku Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi