Для успешного прохождения сертификации PCI DSS необходимо выполнить ряд требований, которые могут варьироваться в зависимости от категории компании и уровня сложности её системы обработки платежей. 1

Некоторые из требований стандарта PCI DSS:

• Защита сети. 1 Необходимо настроить защиту беспроводной сети, использовать брандмауэр, запретить применение слабых протоколов шифрования и регулярно обновлять ПО брандмауэров. 1
• Защита данных держателей карты. 1 Данные нужно хранить только в зашифрованном виде, защищать передачу данных по сети, удалять излишние данные и защищать ключи шифрования. 1
• Управление учётными записями и доступом. 1 Необходимо создать и использовать уникальные идентификаторы для пользователей, настроить права доступа к системам обработки платежей, ограничить доступ к информации о держателях карты только необходимым сотрудникам и регулярно менять пароли. 1
• Защита от вредоносных программ. 1 Нужно установить и обновлять антивирусное ПО на всех системах, находящихся в сети компании, защищать все системы обработки платежей от вредоносных программ и регулярно обновлять ПО. 1
• Защита физических ресурсов. 1 Необходимо ограничить физический доступ к системам обработки платежей, установить систему видеонаблюдения и контроля доступа. 1
• Установление правил политики безопасности. 3 Нужно периодически проверять соответствие данным правилам и продумывать алгоритмы поэтапных действий при хакерском взломе. 3

Процесс сертификации PCI DSS включает следующие шаги: 1

1. Определение уровня сложности системы обработки платежей. 1 Для этого нужно проанализировать ежегодный объём транзакций, обрабатываемых компанией, и использовать соответствующую таблицу уровней сертификации, определённую в стандарте PCI DSS. 1
2. Подготовка системы обработки платежей. 1 Включает в себя выполнение необходимых технических работ для обеспечения соответствия стандарту PCI DSS, например, установку необходимых программных и аппаратных средств, обновление системы безопасности, настройку правил доступа и т. д.. 1
3. Проведение тестирования системы обработки платежей. 1 Тестирование может проводиться как внутри компании, так и с помощью независимых экспертов. 1
4. Подача заявки на сертификацию. 1 После проведения тестирования компания подаёт заявку на сертификацию в аккредитованную компанию-аудитора, которая проведёт окончательную оценку и выдаст сертификат, если компания соответствует всем требованиям стандарта. 1
5. Поддержание сертификата. 1 Компания обязана поддерживать сертификат в действующем состоянии, для этого нужно проводить регулярную проверку своей системы обработки платежей и вносить необходимые изменения, чтобы обеспечить её соответствие требованиям стандарта. 1 Кроме того, компания должна ежегодно проходить повторную сертификацию. 1
6. Документирование процесса. 1 Все шаги процесса получения сертификата PCI DSS должны быть документированы, чтобы обеспечить прозрачность и возможность проверки соответствия компании требованиям. 1
7. Обучение сотрудников. 1 Компания должна подготавливать и обучать своих сотрудников, чтобы они могли правильно использовать систему и соблюдать требования стандарта PCI DSS. 1