За последние годы MasterCard и Visa все больше стараются соответствовать стандарту PCI DSS. Именно поэтому они активно требуют от предприятий и платежных шлюзов получение сертификата Compliance control, который будет гарантировать безопасность всех данных клиентов.
Описание
Сертификат PCI DSS – нормы безопасности, которых следует придерживаться всем предпринимателям, занимающимся поставкой товара или услуги и принимающим оплату, используя платежные карты. Более простыми словами, сертификация PCI DSS – документ, сопровождаемый перечнем параметров-требований к бизнес-проектам, который контролирует сведения о банковских картах.
Сегодня существует множество карт. Следовательно, чтобы сформировать норматив в данной отрасли, участники рынка должны придерживаться единой цели – сделать все манипуляции с картами максимально безопасными. Именно поэтому и был разработан PCI DSS.
Все нормативы, прописанные в сертификате, можно разделить на 12 обобщенных групп:
- Обеспечение защиты сетям вычислительного типа.
- Выполнение конфигурации элементов информации.
- Обеспечение защиты сведениям о владельце карты.
- Предоставление защитных свойств отправляемых сведений о владельце карты.
- Наличие антивирусной защиты информации.
- Создание и поддержка базы данных.
- Осуществление контроля доступа к сведениям о владельце карты.
- Настройка аутентификационных механизмов.
- Обеспечение физической защиты базе данных.
- Выполнение фиксации всех событий и происшествий.
- Осуществление контроля защиты информации.
- Ведения наблюдения за информационной безопасностью.
Таким образом, документ PCI DSS затрагивает не только программную часть всех систем, но и их физическую инфраструктуру. Следовательно, сертификат указывает серьезность намерений компании, учитывая показатель безопасности каждого клиента.
Кому необходим сертификат?
Документ PCI DSS необходим абсолютно всем организациям, которые занимаются обработкой платежей, используя банковские карты. Сертификат нужен, независимо от того, записывает ли организация сведения о клиентах, осуществляет ли их передачу с помощью сети, применяет ли сведения и имеет ли доступ к ним.
В любом случае предприятие принимает участие в системе платежей, следовательно, должно иметь PCI DSS.
Если организация не оформит окумент и будет игнорировать стандарты, она будет привлечена к уголовной и административной ответственности!
