PCI DSS (Payment Card Industry Data Security Standard) — это международный стандарт безопасности данных платёжных карт. 1 Он описывает требования к защите номера карты, имени владельца, срока действия, CVV/CVC/CVP-кода, данных магнитной полосы или чипа, ПИН-кода и других сведений. 1

Главная задача PCI DSS — обеспечить безопасность данных платёжных карт, поэтому соответствовать стандарту должны все организации, которые хранят, обрабатывают и передают такие данные. 1 Это банки, розничные и интернет-магазины, платёжные шлюзы, процессинговые центры, телеком-операторы. 1

Некоторые требования стандарта PCI DSS:

• Защита внутренней сети компании. 2 Для этого необходимо настраивать фаерволы и менять пароли на сложные. 2
• Защита сведений банковских карт. 2 Требуется внедрить систему шифрования данных, а передачу сведений осуществлять по протоколу не ниже TLS 1.1. 2
• Минимизирование рисков уязвимости. 2 На оборудовании должны систематически устанавливаться обновления программного обеспечения. 2
• Контроль за доступом к хранилищу данных. 2 Следует ограничивать число лиц, имеющих доступ к информационной системе. 2
• Установление правил политики безопасности. 2 Необходимо периодически проверять соответствие данным правилам и продумывать алгоритмы поэтапных действий при хакерском взломе. 2
• Мониторинг IT-инфраструктуры. 2 Следует регулярно проводить тестирование информационных систем. 2

Подтверждать соответствие стандарту надо не реже раза в год. 1 В зависимости от объёма обрабатываемых транзакций это можно делать путём заполнения листа самооценки либо с привлечением сертифицированного аудитора — внутреннего или внешнего. 1