Что такое PCI DSS: стандарт, сертификаты и требования
Организации в сферах финансов и e-commerce обязаны работать в соответствии со стандартом PCI DSS (расшифровка — Payment Card Industry Data Security Standard), определяющим требования к обеспечению безопасности данных платежных карт. Соблюдать эти требования должны компании, которые так или иначе взаимодействуют с платежной информацией, принимают безналичную оплату.
В статье подробно рассказываем о PCI DSS, применимости стандарта, особенностях защиты данных карт.
PCI DSS: что это такое
Это документ, где описаны критерии, которым должны соответствовать организации, взаимодействующие с данными платежных карт. Требования нужно соблюдать, чтобы предотвратить несанкционированное использование и утечку такой информации, как номера карт, CVC2/CVV2, имена держателей, срок действия и сведения, содержащиеся в чипе и магнитной полосе.
PCI DSS был разработан в 2006 году Советом по стандартам безопасности индустрии платежных карт (PCI SSC), который был основан ведущими международными платежными системами: Visa, MasterCard, American Express, Discover и JCB.
Есть несколько версий стандарта. Ранее компании опирались на 3.2.1. Сейчас следует руководствоваться актуальными, утвержденными в 2022 и 2024 годах — 4.0 и 4.0.1 соответственно. Там прописаны четкие требования к средствам защиты информации, многофакторной аутентификации, разграничению прав доступа.
Применимость PCI DSS: на кого распространяется действие стандарта
Казалось бы, все просто — стандарт распространяется на всех, кто работает с данными платежных карт. Однако есть нюансы, о которых мы расскажем.
Кто обязан соблюдать стандарт
Примеры организаций, которые должны работать в соответствии с PCI DSS:
банки-эквайеры и эмитенты;
процессинговые центры;
сервис-провайдеры;
торговые точки и интернет-магазины.
В перечень можно включить организации, которые хранят, обрабатывают и передают платежные данные. Масштаб компании и активность деятельности не играет роли — требования важно соблюдать даже тем, кто проводит хотя бы одну транзакцию в месяц.
Уровни соблюдения стандарта PCI DSS в зависимости от объема обрабатываемых транзакций
Есть четыре уровня соблюдения PCI DSS в зависимости от объема операций с картами. Уровень влияет на глубину проверки со стороны контролирующих органов и форму подтверждения соответствия.
Уровень | Годовой объем транзакций | Кто попадает | Как подтверждают соответствие |
Level 1 | > 6 млн транзакций по всем каналам | Крупные банки-эквайеры, процессинговые центры, ритейлеры с миллионами операций | Ежегодный аудит (On-site assessment) аккредитованным QSA-аудитором + ежеквартальное сканирование уязвимостей ASV |
Level 2 | 1–6 млн транзакций | Средние компании и онлайн-магазины | Самооценка по SAQ (Self-Assessment Questionnaire) + ежеквартальное сканирование ASV |
Level 3 | 20 000 – 1 млн e-commerce транзакций | Небольшие интернет-магазины | SAQ+сканирование ASV |
Level 4 | < 20 000 e-commerce транзакций и < 1 млн транзакций всех типов | Мелкие торговые точки, стартапы | SAQ (часто упрощенный) + сканирование по требованию банка-эквайера |
Основные требования PCI DSS
Все требования перечислять не будем, поскольку подробное описание можно найти в актуальной версии стандарта. Коснемся только основных регламентов и особенностей их адаптации под конкретные компании.
Перечень требований
В стандарте двенадцать основных требований, сгруппированных по пунктам.
№ | Требование | Что нужно делать / особенности |
1–2 | Организация и поддержка безопасных сетей и систем | Установка межсетевых экранов, применение безопасных конфигураций для всех компонентов используемых систем |
3 | Защита хранимых данных | Шифрование, использование ключевых хешей, обеспечение надежного хранения |
4 | Защита данных при передаче по открытым сетям | Шифрование трафика, использование надежных криптографических методов |
5–6 | Управление уязвимостями | Безопасная разработка ПО, регулярное обновление, применение антивирусов, анализ на уязвимости, тестирования на проникновение |
7–9 | Контроль доступа (физического и в цифровом поле) | Разграничение прав доступа, идентификация и проверка пользователей, многофакторная аутентификация, контроль физического доступа |
10–11 | Журналы, мониторинг и тестирование безопасности | Ведение логов, аудит действий пользователей, регулярное тестирование сетей и систем |
12 | Политики безопасности и программы управления | Поддержка грамотной политики ИБ, регулярное обучение сотрудников, работа с третьими сторонами, распределение зон ответственности |
Также перечисляем некоторые требования версии стандарта 4.0, которые вступили в силу 31 марта 2025 года:
Учитывать критичную аутентификационную информацию, такую, как CVC2/CVV2 в перечне мест хранения данных держателей платежных карт.
Шифровать критичные аутентификационные данные с помощью средств стойкой криптографии.
Запретить операции с данными для сотрудников, у которых нет соответствующего разрешения на работу с конфиденциальной информацией.
Хешировать номера карт только с помощью хеш-функций с секретом.
Использовать разные криптографические ключи для шифрования данных платежных карт в рабочих и тестовых средах.
Ввести перечень доверенных криптографических ключей и сертификатов, которые используются для передачи номеров платежных карт по общедоступным сетям.
Вести учет используемого программного обеспечения и его компонентов.
Вести учет используемых криптографических протоколов.
Использовать антивирус, который будет проверять наличие вредоносного ПО на съемных носителях в момент их подключения.
Внедрить надежные решения для защиты от фишинговых атак.
Использовать Web Application Firewall (WAF) для защиты публичных приложений. Например, подойдет сервис Curator Anti‑DDoS+WAF от Cloud.ru, который защищает от DDos-атак и взломов.
Внедрить многофакторную аутентификацию в системах, которые относятся к области применимости PCI DSS, предусмотреть защиту от возможности обхода второго фактора и replay attacks.
Предусмотреть надежное хранение паролей, которые используются системными учетными записями и корпоративными приложениями.
Внедрить запись логов, их защиту, регулярный анализ на корреляцию событий.
Устранять выявленные уязвимости в IT-инфраструктуре согласно уровню критичности, проводить повторные сканирования уязвимостей после ликвидации слабых мест безопасности.
Использовать IDS/IPS-системы, способные обнаруживать скрытые каналы передачи вредоносного программного обеспечения.
Ежегодно проводить инвентаризацию физического оборудования и ПО, которые подпадают под требования PCI DSS.
Регулярно актуализировать документацию, которая описывает области применимости стандарта.
Продумать программу обучения сотрудников, куда должны войти такие темы, как распознавание социальной инженерии и фишинговых атак, основы применения пользовательских технологий.
Разработать четкий план реагирования на инциденты информационной безопасности.
Применимость и адаптация требований
Иногда компании по объективным причинам не могут выполнить некоторые требования стандарта. В таком случае следует посоветоваться с консультантом по PCI DSS. Он поможет разработать компенсационные меры, которые тоже будут направлены на защиту данных платежных карт и позволят компании избежать санкций.
Также организации могут адаптировать под себя арсенал рекомендованных средств защиты информации, например, межсетевые экраны. Если законодательство не диктует необходимость использовать аппаратные, можно выбрать виртуальные, которые тоже подходят для комплексной защиты сетей и корпоративной инфраструктуры. Их можно внедрить и настроить быстрее и проще, чем аппаратные. Пример такого решения — UserGate от Cloud.ru. Это межсетевой экран нового поколения, NGFW. Он обеспечивает глубокую инспекцию трафика и защищает даже от сложных сетевых атак.
Можно ли игнорировать требования или выполнять частично
Нет, компании, обрабатывающие данные карт, должны обеспечить стопроцентное соблюдение требований. Представим, что организация пренебрегает предписаниями и нарушает стандарт. Вот последствия, с которыми она с большой вероятностью столкнется:
Штрафы и санкции от банков-эквайеров и платежных систем. Размер штрафов зависит от специфики деятельности организации, объема несоответствий, частоты нарушений. Если финансовые санкции не принесут результатов, и компания так и не начнет в полной мере следовать требованиям, то может потерять возможность принимать оплату по картам.
Проблемы в правовом поле. Если нарушение требований PCI DSS приведет к утечке, на компанию могут подать в суд клиенты или партнеры, чьи данные были скомпрометированы. Придется отвечать рублем, а если иски массовые, то существенными суммами.
Потеря репутации. Недобросовестное отношение к защите конфиденциальных данных может обернуться потерей доверия клиентов/подрядчиков/партнеров, в результате чего пострадает финансовое положение компании-нарушителя.
Делаем вывод, что требования соблюдать нужно. Добросовестность компании в этом вопросе будут проверять аудиторы. Они обнаруживают нарушения и дают компании время, чтобы их исправить. Игнорировать предписания нельзя, иначе могут возникнуть вышеперечисленные проблемы.
Трудности и вызовы при соблюдении требований PCI DSS
По сути, стандарт не предполагает специфических требований, которые невозможно было бы соблюсти. Если компания уже следует предписаниям регуляторов и законам в отрасли информационной безопасности, таким, как ISO/IEC 27001, ГОСТ Р 57580.1, приказ ФСТЭК №21, то по умолчанию будет соответствовать и большинству положений PCI DSS.
И все же трудности возможны. Их можно условно разделить на несколько групп.
Неопределенность в вопросах безопасности в облачных и гибридных инфраструктурах
Наиболее распространенные проблемы в этой части:
Недостаток знаний об используемых средствах защиты информации. В локальных системах компания сама отвечает за конфиденциальность данных. В облачных структурах о безопасности заботится провайдер. Следует уточнять, какие именно средства защиты используются.
Проблемы с разделением ответственности. Важно понять, за соблюдение каких требований PCI DSS будет отвечать провайдер и что должна со своей стороны предпринять компания.
Сложности в организации мониторинга и централизованного сбора логов. Чтобы решить проблему, следует обсудить с провайдером возможность передачи необходимых данных о действиях пользователей и событиях.
Если планируете работать с облачными или гибридными инфраструктурами, ищите провайдера, который тоже заинтересован в соблюдении стандартов безопасности и предлагает надежные решения.
Организационные проблемы
Это проблемы, возникающие из-за того, что бизнес-процессы в компании не выстроены должным образом. Примеры:
Отсутствуют четкие политики информационной безопасности. Либо они есть, но только на бумаге и не исполняются.
Хаос в правах доступа к конфиденциальной информации.
Отсутствие документации по используемым средствам защиты данных.
Эти проблемы встречаются в организациях любого масштаба. Их надо решать не только с целью соблюдения требований PCI DSS — в первую очередь для того, чтобы навести порядок в бизнес-процессах и снизить риски внутренних нарушений.
Проблемы, связанные с подтверждением соответствия стандарту
Компании, обрабатывающие данные платежных карт, должны быть готовы к тому, что придется регулярно исследовать IT-инфраструктуру на предмет наличия уязвимостей, проводить пентесты, ежегодный аудит.
Все это нужно будет реализовать и при каких-либо изменениях в информационной инфраструктуре. В таких случаях сканирование, пентесты и аудиты проводятся сразу после утверждения изменений. Это не отменяет плановых проверок для подтверждения соответствия стандарту.
Процесс сертификации PCI DSS
Под сертификацией понимают процесс подтверждения, что компания действительно соблюдает требования стандарта — именно фактически, а не только по документам. Рассказываем, как проверяется соответствие PCI DSS.
Как происходит проверка на соответствие требованиям PCI DSS
Первым делом необходимо определить уровень PCI DSS (об уровнях рассказывали выше) и набор требований для своей компании.
Следующий этап — проверка соответствия регламентам. Оценивается эффективность всех мер, принятых компанией — от работы с сотрудниками до защиты сетей и корпоративных систем. На этом этапе можно выявить все слабые места безопасности и оперативно их устранить, после чего провести повторную проверку.
Это план, который необходимо адаптировать под конкретную компанию и приоритеты при выполнении требований PCI DSS.
Как получить сертификат соответствия PCI DSS
Чтобы получить сертификат, нужно провести оценку соответствия в том виде, который предписан компаниям вашего уровня: SAQ, QSA-аудит, внутренний аудит с ISA. Подготовьте отчетные документы и предоставьте их заинтересованным сторонам: банкам, платежным системам, клиентам, контролирующим лицам от государственных структур.
Не всем компаниям разрешается самостоятельно проводить аудит и готовить отчетность. Это допустимо для мерчантов с объемом транзакций до 1 миллиона в год и сервис-провайдеров с годовым оборотом до 300 000 рублей. В остальных случаях нужно привлекать аудиторов.
Аудит состоит из нескольких этапов:
Изучение внутренних документов, касающихся обеспечения информационной безопасности компании.
Проверка соблюдения регламентов и корпоративных политик безопасности.
Тестирование на проникновение «белыми» хакерами с целью найти уязвимости и проверить, насколько легко проникнуть в IT-инфраструктуру.
Оценка технического состояния корпоративных сетей (проверка безопасности программного обеспечения, настроек операционных систем).
Если аудиторы найдут нарушения, у компании будет возможность оперативно их исправить. Затем будет повторная проверка и уже тогда выдача сертификата. Но не выйдет просто получить сертификат соответствия PCI DSS и на этом остановиться — придется регулярно подтверждать соблюдение требований. Для этого проводятся ежеквартальные и ежегодные проверки.
Чтобы без проблем внедрить PCI DSS, можно привлечь стороннюю организацию, даже если не нужен сертификационный аудит. Выбирайте помощников с релевантным опытом. Таких экспертов можно найти в организациях со статусом QSA.
В каких случаях компания может не проходить сертификацию
Можно не проходить сертификацию, если компания сотрудничает с поставщиком платежных шлюзов, соответствующих требованиям стандарта PCI DSS. В таком случае сертификацию и регулярные проверки на соответствие должен проходить именно поставщик, поскольку он будет выступать звеном между банком и потребителем.
Преимущества соответствия PCI DSS
Компания, соблюдающая предписанные требования, действует не только в угоду регуляторам. В первую очередь она демонстрирует ответственное отношение к защите конфиденциальной информации, за что получает доверие со стороны клиентов и партнеров.
Другие преимущества перечислены в таблице.
Преимущество | Что это дает компании |
Защита данных клиентов | Минимизация риска утечек, снижение вероятности мошенничества и репутационного ущерба |
Снижение финансовых рисков | Предотвращение штрафов от регуляторов и затрат на ликвидацию последствий инцидентов ИБ |
Рост доверия клиентов | Повышение лояльности пользователей и партнеров благодаря демонстрации высокого уровня информационной безопасности |
Соответствие международным требованиям | Упрощенный выход на зарубежные рынки, работа с международными платежными системами и финансовыми организациями |
Формирование безопасной среды | Планирование подхода к защите данных, внедрение контроля доступа и мониторинга для внутренней безопасности, управление уязвимостями |
Конкурентное преимущество | Преимущество перед конкурентами за счет наличия сертификата PCI DSS. Это может стать аргументом для клиентов, которые выбирают поставщика услуг |
Готовность к проверкам и аудитам | Регулярных пентесты и сканирования адаптируют компанию к другим ИБ-аудитам |
Получается, что ответственные компании только выигрывают от соблюдения требований. К тому же, затраты на подготовку защищенной инфраструктуры, услуги аудиторов и консультантов зачастую гораздо ниже, чем возможный финансовый ущерб от атак и утечек.
Заключение
PCI DSS — один из ключевых стандартов в информационной безопасности. Его требования должны соблюдать компании, которые так или иначе имеют дело с данными платежных карт. На словах все просто, а на практике — нет, поскольку нужно принять ряд обязательных мер и регулярно подтверждать их эффективность. Одно из основных требований — внедрение надежных средств защиты информации.