Краткий ликбез для предприятий, работающих по PCI DSS-стандартам

Наши специалисты отвечают на ряд вопросов, касающихся темы PCI DSS-сертификации.

Зачем нужны PCI DSS-стандарты?

Стандарты PCI DSS предложены Советом по стандартам безопасности данных специально для платежных систем, которые используют карточные данные. Благодаря таким требованиям в первую очередь обеспечивается безопасная работа с данными карт для оплаты.

Какие предприятия попадают под соответствие PCI DSS-стандартам?

Каждое предприятие, которое применяет карточную систему для оплаты своей продукции, попадает под необходимость соответствия PCI DSS-стандартам, что приходится подтверждать, проходя специальные проверки. Их разделяют на два типа по методу использованию карточных данных.

Торгово-сервисные — относятся к первому типу. Они принимают для оплаты своей продукции карточки. К таким относят магазины (в том числе и интернет-магазины), кафе и подобное.

Второй тип – это поставщики услуг, которые занимаются обработкой транзакций. К таким можно отнести различные платежные системы, дата-центры и хостинг-провайдеры.

Какая классификация предприятий, разработана MasterCard, Visa?

Классификация предприятий, которую предлагают MasterCard, Visa, базируется на числовом значении обрабатываемых за год транзакций.

Какие есть способы для подтверждения соответствия PCI DSS-стандартам?

Для сертификации PCI DSS придется пройти специальную аудиторскую проверку. Это можно сделать, воспользовавшись одним из способов.

I способ аудиторской проверки – внешняя (QSA). Осуществляется специализированной аудиторской компанией, которая имеет сертификат, выданный Советом PCI DSS. Ее специалисты собирают сведения о соответствиях стандартам и сохраняют эту информацию на протяжении 3-х лет.

II способ аудиторской проверки – внутренняя, ISA. Проводится аудитором, работающим на проверяемом предприятии. У ответственного за проверку лица также должен быть сертификат о прохождении обучения по программе Совета PCI DSS.

III способ аудита – самооценка, SAQ. Не требует никаких сертификатов, а выполняется методом самооценивания (для этого заполняется специальный лист).

От каких критериев зависит выбор способа PCI DSS-аудита?

Выбор способа аудиторской проверки зависит от двух критериев:

1. тип предприятия;
2. количество транзакций, которые она обрабатывает за год.

 Для чего нужна услуга PCI DSS-хостинга?

Она рассчитана на предприятия с облачной инфраструктурой. Благодаря такой услуге, обеспечивается безопасность при работе с платежной карточной системой (ведь они размещают инфраструктуру у PCI DSS хостинг-провайдера, у которого уже имеется необходимый сертификат). Таким образом, провайдер частично выполняет PCI DSS-стандарты.

Какие преимущества предоставляет PCI DSS-хостинг?

Предприятие, обращаясь к поставщикам услуг с PCI DSS-сертификатами, получает:

• защищенность среды для карточных данных повышенного уровня;
• значительное снижение рисков потерь при проведении финансовых операций;
• упрощенный процесс сертификации.

Наша компания приведет Ваш сервер к PCI DSS-стандартам, Ваш интернет-магазин будет работать безопасно, обращайтесь [email protected]