PCI DSS сертификация: полное руководство

Введение

Стандарт PCI DSS (Payment Card Industry Data Security Standard) – это международный стандарт безопасности данных, предназначенный для защиты информации держателей платежных карт и предотвращения мошенничества. Он объединяет технические, организационные и процедурные меры, обязательные для всех компаний, которые хранят, обрабатывают или передают данные карт. Созданный в 2004–2006 годах платежными системами Visa, MasterCard, American Express, Discover и JCB, стандарт быстро стал глобальным ориентиром в области безопасности электронных платежей. Сегодня сертификация PCI DSS во многих случаях является обязательным условием для участников рынка, работающих с данными платежных карт.

В 2025 году стандарт переживает очередной этап развития: глобальная индустрия переходит на актуальную версию PCI DSS 4.0.1, которая закрепляет новые подходы к обеспечению безопасности, ужесточает требования к аутентификации, логированию, защите веб-приложений и взаимодействию со сторонними поставщиками. Для многих компаний это означает необходимость переосмыслить архитектуру своих ИТ-систем, обновить процессы и изменить подход к управлению рисками.

Сертификация PCI DSS необходима не только международным финансовым организациям, но и российским компаниям, работающим с платежными картами, включая банковский сектор, онлайн-ритейл, сервис-провайдеров, процессинговые центры, компании электронной коммерции, а также организации, взаимодействующие с платежной системой «Мир». Несоответствие требованиям стандарта может привести к штрафам, отключению от процессинга, блокировке транзакций и серьезным репутационным потерям.

Эта статья – практическое руководство, созданное для IT-директоров, специалистов по информационной безопасности и владельцев бизнеса, которым необходимо подготовиться к сертификации и избежать типичных ошибок.

Что такое PCI DSS: основы стандарта

PCI DSS – это комплексный международный стандарт безопасности данных, разработанный для защиты данных держателей платежных карт и минимизации рисков мошенничества. Его полное название – Payment Card Industry Data Security Standard, и именно оно отражает основную цель документа: единые требования безопасности для организаций, которые хранят, обрабатывают или передают данные платежных карт. Стандарт определяет, какие технические, организационные и процедурные меры необходимо внедрить, чтобы обеспечить требуемый уровень защиты данных при хранении, обработке и передаче.

Роль PCI Security Standards Council (PCI SSC)

Стандарт PCI DSS разработан и поддерживается организацией PCI Security Standards Council (PCI SSC) – независимым международным советом, созданным ведущими платежными системами: Visa, MasterCard, American Express, Discover и JCB. Совет отвечает за:

• публикацию и обновление стандартов;
• разработку методических материалов и гайдлайнов;
• аккредитацию аудиторов (QSA) и вендоров (ASV);
• координацию глобальных инициатив по повышению безопасности платежных данных.

PCI SSC играет ключевую роль в формировании мирового подхода к защите платежной информации. Все обновления, включая текущую версию PCI DSS 4.0.1, выходят именно через Совет.

Стандарт определяет строгие требования к защите следующих типов информации:

1. Номер платежной карты (PAN – Primary Account Number). Это основной идентификатор карты, утечка которого может способствовать проведению мошеннических операций при сочетании с другими данными.
2. Срок действия карты (Expiration Date). Используется для подтверждения подлинности карты.
3. Коды безопасности CVV2/CVC2 (Card Verification Value/Code). Эти трехзначные коды не могут храниться после авторизации транзакции – это одно из ключевых требований PCI DSS.
4. Данные магнитной полосы. Включают Track 1 и Track 2 – крайне чувствительная информация, хранение которой строго запрещено.
5. PIN-коды и PIN-блоки. Защищаются дополнительными стандартами, но также подпадают под требования PCI DSS при обработке.

Совокупность этих данных называется данными держателей карт, а среда, где они обрабатываются, хранится или передаются, – Среда обработки данных платежных карт. Ее правильное определение – критичная часть подготовки к сертификации.

Область применения PCI DSS

Стандарт обязателен для всех организаций, которые хранят, обрабатывают или передают данные карт, включая:

• торгово-сервисные предприятия (ТСП), принимающие оплату по картам;
• сервис-провайдеры – компании, предоставляющие услуги обработки платежей;
• процессинговые центры;
• банки и финансовые организации.

Важно понимать, что PCI DSS распространяется на всю среду обработки данных платежных карт и подключенные к ней системы – совокупность систем, сетей и приложений, где хранятся или обрабатываются данные карт. Несоответствие хотя бы одному требованию стандарта PCI DSS делает невозможным получение статуса соответствия PCI DSS.

Кому необходима сертификация PCI DSS

Организации, обязанные соответствовать PCI DSS

Обязательность стандарта PCI DSS распространяется на все организации, которые хранят, обрабатывают или передают данные держателей банковских карт. Это требование не зависит от масштаба бизнеса, страны регистрации или модели работы: любое участие в процессе платежной обработки подчиняет компанию требованиям PCI DSS. Стандарт безопасности данных обязателен для компаний, использующих эквайринг, выполняющих онлайн-платежи, предоставляющих платежные сервисы или влияющих на защиту инфраструктуры.

К обязательным субъектам относятся торговые предприятия, сервис-провайдеры, процессинговые центры, банки-эквайеры, а также международные и российские платежные системы, включая платежную систему НСПК «Мир».

Торгово-сервисные предприятия и их обязательства

Торгово-сервисные предприятия (ТСП) – это любая организация, принимающая оплату картами через онлайн-каналы или офлайн-эквайринг. Их обязательства по PCI DSS определяются в зависимости от способа обработки, передачи и хранения данных карт.

К торговым предприятиям относятся:

• интернет-магазины;
• сервисы подписок и SaaS-платформы;
• мобильные приложения с платежными функциями;
• розничные магазины;
• маркетплейсы;
• сервисы доставки, такси, бронирования, билетов и т.д.

Обязательства ТСП включают:

• обеспечение безопасной интеграции с платежным шлюзом;
• поддерживать безопасность своей инфраструктуры и технологий, в которые встроена возможность оплаты картами;
• поддерживать безопасность устройств приема платежей.

Даже если ТСП не хранит данные карт, он все равно обязан соответствовать PCI DSS, так как участвует в платежном процессе.

Сервис-провайдеры и процессинговые центры

Сервис-провайдеры – это компании, обрабатывающие, передающие или хранящие данные платежных карт своих клиентов в рамках предоставляемых услуг. Для них обязательность стандарта особенно высока, поскольку объемы обрабатываемых карточных данных велики.

К сервис-провайдерам относятся:

• процессинговые центры;
• крупные Банки;
• агрегаторы платежей в интернете или платежей наземного эквайринга.

Процессинговые центры – это организации, обеспечивающие технологическую основу функционирования платежной индустрии между участниками платежной системы: банками-эмитентами, банками-эквайрерами, торгово-сервисными предприятиями, платежными брендами и держателями платежных карт. Они обязаны проходить ежегодный аудит QSA и соблюдать полный объем требований PCI DSS, так как они обрабатывают критически важные данные, включая PAN, CVV2, PIN-блоки, криптографические ключи и другие элементы.

Банки-эквайеры и их роль

Банки-эквайеры – ключевые участники эквайринговой инфраструктуры. Они не только обеспечивают проведение транзакций, но и несут ответственность за соблюдение стандартов безопасности ТСП, подключенными к их эквайрингу.

Обязанности эквайеров включают:

• прохождение обязательной сертификации PCI DSS;
• контроль соответствия ТСП установленным требованиям;
• мониторинг нарушений безопасности;
• выполнение требований платежных систем по отчетности;
• поддержку безопасных каналов обработки и передачи данных.

Эквайеры являются связующим звеном между ТСП и платежной системой, обеспечивая соблюдение правил в рамках своей эквайринговой инфраструктуры.

Международные и российские компании (платежная система «Мир»)

Сертификация PCI DSS обязательна для международных платежных систем, а также для российской инфраструктуры, работающей с данными карт. В российском контексте ключевую роль играет:

• Национальная система платежных карт (НСПК);
• платежная система «Мир»;
• банки и сервисы, участвующие в обработке операций «Мир»;
• организации, предоставляющие технологическую и информационную поддержку транзакций.

Для всех этих участников PCI DSS служит базовым стандартом, обеспечивающим единые требования к защите данных держателей карт при национальных и международных транзакциях.

Уровни участников PCI DSS

Ключевые аспекты уровней соответствия

Несмотря на то, что стандарт PCI DSS единый для всех участников индустрии платежных карт, разные платежные системы устанавливают собственные уровни соответствия, критерии распределения организаций по уровням и набор документов, необходимых для подтверждения соответствия. Для примера мы рассмотрим модель уровней для ПС «Мир».

В системе «Мир» уровни участников определяются в зависимости от:

1. Годового объема операций по картам «Мир», обрабатываемых организацией;
2. Подтвержденных случаев компрометации данных карт за прошлый год;
3. Роли участника (банк, ПСП, ТСП, процессинговый центр).

Уровень определяет:

• форму подтверждения соответствия (аудит или самооценка);
• необходимость ежегодного аудита или SAQ;
• обязанность проведения квартального ASV-сканирования;
• обязанность предоставлять ROC или AOC;
• обязанность применения специальных программ.

Уровни для Платежных сервис-провайдеров (ПСП)

Платежные сервис-провайдеры – это организации, которые не являются банками, но оказывают услуги по обработке платежей, обеспечению приема карт, маршрутизации транзакций, авторизации и т.д. Для них система «Мир» устанавливает два уровня соответствия.

ПСП уровня L1

Этот уровень присваивается:

• сервис-провайдерам, обрабатывающим более 300 000 операций по картам «Мир» в год;
• ТРР (третисторонним процессинговым центрам);
• провайдерам, у которых в прошлом году была подтвержденная компрометация данных карт.

Требования уровня L1:

• ежегодный сертификационный аудит PCI DSS;
• ежеквартальное ASV-сканирование.

По результатам аудита участники предоставляют Отчет о соответствии (ROC) и Аттестат соответствия (AOC).

ПСП уровня L2

Все ПСП, не подпадающие под критерии L1, относятся к уровню L2.

Требования уровня L2:

• ежегодная самооценка (SAQ D-MIR);
• ASV-сканирование (если применимо).

Уровни для Торгово-сервисных предприятий (ТСП)

В платежной системе «Мир» используется четыре уровня соответствия для ТСП. Основанием для присвоения уровня является прежде всего годовой объем операций, а также подтвержденные инциденты безопасности.

ТСП уровня L1

Это крупнейшие торговые сети и сервисы.

К уровню L1 относятся:

• организации, обрабатывающие более 6 млн операций по картам «Мир» в год;
• ТСП, у которых была подтвержденная компрометация данных карт за предыдущий год.

Требования уровня L1:

• ежегодный сертификационный аудит;
• ежеквартальное ASV-сканирование (если применимо).

По результатам аудита участники предоставляют своему эквайреру Аттестат соответствия (AOC).

ТСП уровня L2

К уровню L2 относятся ТСП с объемом от 1 до 6 млн операций в год.

Требования:

• ежегодный сертификационный аудит в объеме Этапа 1 и Этапа 2 Концепции приоритетного подхода к достижению соответствия PCI DSS;
• ежеквартальное ASV-сканирование (если применимо);

По результатам аудита участники предоставляют своему эквайреру Аттестат соответствия (AOC).

ТСП уровня L3

Этот уровень зарезервирован для электронной коммерции – ТСП, обрабатывающих от 20 000 до 1 млн онлайн-операций в год.

Требования:

• ежегодная самооценка SAQ, форма которой зависит от метода принятия платежей;
• ASV-сканирование (если применимо).

По результатам аудита участники предоставляют своему эквайреру Лист самооценки (SAQ), подписанный аудитором, в котором указаны его роль и функции в рамках проведенной самооценки.

ТСП уровня L4

К уровню L4 относятся все остальные торгово-сервисные предприятия, которые не подпадают под уровни L1-L3.

Оценка ТСП этого уровня производится на усмотрение эквайрера или согласно критериям документа «Стандарт ПС «Мир». Специальная программа подтверждения соответствия ТСП требованиям безопасности».

Исключения

Для ТСП уровня L1, L2 и L3 предусмотрены специальные исключения:

• ТСП, использующие только POS-терминалы и отвечающие критериям спецпрограммы «Стандарт ПС “Мир”. Специальная программа подтверждения соответствия ТСП требованиям безопасности», вправе не подтверждать свое соответствие стандарту PCI DSS посредством сертификационного аудита или самооценки;
• ТСП, принимающие оплату исключительно через уникальные ссылки, сформированные эквайрером или ПСП, освобождаются от подтверждения соответствия.

12 основных требований PCI DSS

Стандарт PCI DSS формирует комплексную систему безопасности на основе 12 требований, охватывающих защиту сети, шифрование данных, управление уязвимостями, контроль доступа, мониторинг и корпоративные политики. Соблюдение требований и непрерывное поддержание соответствия стандарту может снизить риски, связанные с компрометацией платежных данных, атаками на инфраструктуру Среды обработки данных платежных карт, эксплуатацией уязвимостей и организационными недостатками.

Ниже приводится полный разбор всех требований, объединенных в шесть ключевых блоков стандарта.

Блок 1: Создание и поддержание защищенной сети

1. Установка и настройка межсетевых экранов

Первое требование связано с базовой задачей – обеспечить эффективную защиту сети на всех уровнях. Межсетевые экраны становятся ключевым инструментом, позволяющим изолировать CDE (Cardholder Data Environment) и исключить несанкционированные подключения.

PCI DSS требует:

• документирования схем сетевых соединений;
• фильтрации входящего и исходящего трафика;
• правила deny-by-default.

Контроль трафика обеспечивает устойчивость к атакам, направленным на проникновение в CDE через уязвимые сегменты сети.

2. Запрет использования стандартных паролей и параметров безопасности

Использование стандартных, заводских учетных записей или конфигураций несовместимо с PCI DSS. Это одно из важнейших условий для защиты инфраструктуры, поскольку такие настройки легко эксплуатируются злоумышленниками.

Стандарт требует:

• заменять все предустановленные логины и пароли;
• отключать ненужные службы;
• применять безопасные конфигурации;
• контролировать изменения через процессы управления конфигурациями.

Исключение стандартных параметров повышает устойчивость сети и инфраструктуры к автоматизированным атакам.

Блок 2: Защита данных держателей карт

3. Защита хранимых данных держателей карт (шифрование не менее 128 бит)

Третий раздел направлен на обеспечение надежного уровня защиты, включая шифрование данных при их хранении. PAN (Primary Account Number) должен защищаться алгоритмами не слабее AES-128, а критичные данные, такие как CVV2 или PIN-блоки, не могут храниться после авторизации.

Ключевые меры:

• криптографическая защита PAN;
• токенизация;
• маскирование данных при отображении;
• надежное управление криптографическими ключами;
• регулярные проверки отсутствия запрещенных данных.

Этот пункт предотвращает утечки вследствие компрометации серверов и баз данных.

4. Шифрование передачи данных через открытые сети

Данные карт, передающиеся между системами, должны быть защищены современными протоколами криптографии.

Необходимые меры:

• корректная конфигурация протоколов;
• отказ от слабых протоколов шифрования;
• защита API;
• предотвращение downgrade-атак;
• проверка сертификатов.

Блок 3: Программа управления уязвимостями

5. Защита от вредоносного ПО

Пятое требование отвечает за предотвращение заражений, связанных с вредоносным программным обеспечением. Вредоносные программы могут похищать данные карт, снимать дампы памяти и перехватывать трафик.

PCI DSS требует:

• использование антивирусных решений;
• автоматическое обновление сигнатур;
• контроль журналов работы;
• предотвращение отключения механизмов защиты;
• применение EDR/антивирусных систем для защиты серверов и рабочих станций.

Этот элемент критически важен для обеспечения непрерывной безопасности инфраструктуры.

6. Разработка и поддержка безопасных систем и приложений

Шестое требование охватывает управление уязвимостями и создание безопасного ПО. Поддержание актуальности ПО и устранение уязвимостей – ключевой элемент защиты в условиях постоянного появления новых угроз.

Включает:

• патч-менеджмент;
• регулярное закрытие уязвимостей (CVE);
• SAST/DAST/IAST-проверки;
• безопасную SDLC/DevSecOps модель;
• проверку изменений перед внедрением;
• защиту веб-скриптов и предотвращение Magecart-атак.

Этот пункт снижает риск эксплуатации слабых мест приложений и инфраструктуры.

Блок 4: Реализация строгих мер контроля доступа

7. Ограничение доступа к данным на основе бизнес-потребностей

Контроль доступа – один из центральных элементов PCI DSS. Доступ к CDE должен предоставляться только сотрудникам, которым он действительно необходим.

Это включает:

• принцип «минимально необходимых прав»;
• ролевую модель авторизации;
• ограничение административных учетных записей;
• регулярную ревизию прав пользователей;
• устранение дублирующих и конфликтующих ролей.

Такой подход минимизирует риск внутренней утечки данных.

8. Идентификация и аутентификация доступа (многофакторная аутентификация)

Каждый пользователь должен иметь уникальный ID, а доступ в инфраструктуру CDE должен защищаться многофакторной аутентификацией (MFA).

Включает:

• надежные пароли;
• обязательную MFA для администраторов;
• учетный контроль;
• автоматическую блокировку при попытках взлома;
• управление жизненным циклом учетных записей.

Этот пункт предотвращает атаки, связанные с компрометацией паролей.

9. Ограничение физического доступа к данным

Физическая безопасность – неотъемлемая часть контроля доступа в PCI DSS.

Организации обязаны:

• защищать серверные и ЦОДы;
• фиксировать доступ сотрудников и подрядчиков;
• применять видеонаблюдение;
• контролировать доступ к POS-терминалам;
• предотвращать попытки подмены оборудования.

Блок 5: Регулярный мониторинг и тестирование сетей

10. Отслеживание и мониторинг доступа к сетевым ресурсам

Десятое требование связано с обязательным мониторингом, логированием действий и анализом активности внутри CDE. Это позволяет выявлять подозрительные действия, попытки взлома и нарушения политик.

Требование включает:

• сбор логов со всех систем;
• централизованное управление через SIEM;
• защиту журналов от изменения;
• хранение логов не менее 12 месяцев;
• анализ событий безопасности.

Мониторинг является ключевым фактором своевременного обнаружения инцидентов.

11. Регулярное тестирование систем и процессов безопасности

Тестирование – обязательный механизм подтверждения работоспособности защитных мер.

Необходимо:

• ежеквартальные ASV-сканирования;
• регулярные пентесты;
• тестирование сегментации;
• непрерывный контроль уязвимостей;
• проверка корректности настроек безопасности.

Этот блок помогает предотвратить накопление ошибок конфигурации и уязвимостей.

Блок 6: Поддержание политики информационной безопасности

12. Политика безопасности информации для персонала и подрядчиков

Завершающее требование определяет рамки, в которых действуют сотрудники и подрядчики. Политика безопасности – основа корпоративной культуры ИБ и фундамент всех остальных мер.

Она должна:

• описывать правила защиты данных карт;
• определять обязанности сотрудников;
• включать план реагирования на инциденты;
• распространяться на всех подрядчиков;
• пересматриваться ежегодно;
• охватывать все аспекты обработки данных в CDE.

Практические рекомендации по выполнению требований

• Минимизировать объем хранимых данных карт;
• Использовать токенизацию и шифрование данных;
• Сегментировать сеть и изолировать CDE;
• Внедрять централизованное логирование и SIEM;
• Регулярно тестировать системы на проникновение;
• Поддерживать актуальные политики безопасности и обучать персонал;
• Обеспечивать постоянный мониторинг сетей и систем;
• Контролировать доступ к критичным данным через контроль доступа.

Соблюдение всех вышеуказанных требований PCI DSS обеспечивает надежную защиту сети, шифрование данных, строгий контроль доступа и постоянный мониторинг. Это минимизирует риски утечек, мошенничества и штрафов, а также является обязательным условием для прохождения сертификации и работы с платежными системами.

Версия PCI DSS 4.0.1 отражает современные подходы к защите данных держателей карт в рамках стандарта безопасности данных. Основная цель этой версии – адаптировать систему контроля к новым угрозам, повысить гибкость внедрения и усилить защиту критичных систем.

PCI DSS 4.0 и 4.0.1: что нового

В 2024-2025 годах стандарт PCI DSS претерпел значительные изменения. Переход с версии 3.2.1 на PCI DSS 4.0 и дальнейшее обновление до PCI DSS 4.0.1 отражает современные вызовы кибербезопасности и усилия по адаптации требований к новым технологиям и бизнес-процессам. Эти версии вводят новые требования 2025, предусматривают индивидуальный подход (Customized Approach) к выполнению требований, усиливают правила многофакторной аутентификации и уточняют обязанности сторонних провайдеров и методы мониторинга безопасности.

Переход с версии 3.2.1 на 4.0

Переход на PCI DSS 4.0 стал важным шагом в развитии стандарта. В версии 4.0:

• пересмотрена структура и формулировки всех 12 требований PCI DSS, чтобы сделать их более гибкими для современных инфраструктур;
• усилены контрольные механизмы для защиты данных держателей карт;
• введена возможность индивидуального подхода, который позволяет организациям применять альтернативные методы соответствия при сохранении уровня безопасности;
• обновлены требования к шифрованию, логированию и мониторингу;
• повышены стандарты управления уязвимостями и тестирования приложений.

Переход на новую версию требует, чтобы компании провели аудит текущей инфраструктуры и определили, какие изменения в требованиях повлияют на процедуры защиты данных.

Ключевые отличия версии 4.0.1

Основные изменения включают:

• уточнение формулировок требований для упрощения интерпретации;
• исправление неточностей и противоречивых элементов из версии 4.0;
• уточнение процессов документирования и доказательной базы;
• дополнительное разъяснение принципов индивидуального подхода, позволяющего организациям применять гибкие методы соблюдения стандартов;
• улучшение требований к многофакторной аутентификации и контролю сторонних сервис-провайдеров;
• закрепление практик автоматического обнаружения скриптов на платежных страницах.

Эти изменения направлены на повышение ясности стандартов и уменьшение числа ошибок при сертификации.

Новые требования с обязательным выполнением с 31 марта 2025 года

С 31 марта 2025 года компании должны полностью соблюдать обновленные положения PCI DSS 4.0.1. Ключевые новые требования 2025 включают:

• обязательное использование мультифакторной аутентификации для всех пользователей систем в скоупе PCI DSS;
• внедрение механизмов автоматического обнаружения сторонних скриптов и виджетов на платежных страницах;
• ежегодная проверка и документирование области применения стандарта (Scope), чтобы исключить ошибки в оценке CDE;
• усиленные требования к защите данных при передаче и хранении;
• строгие критерии для выбора и контроля сторонних провайдеров.

Индивидуальный подход к выполнению требований (Customized Approach)

Одним из ключевых нововведений PCI DSS 4.0 и 4.0.1 является индивидуальный подход (Customized Approach). Он позволяет организациям:

• использовать альтернативные методы выполнения требований, если стандартный подход невозможен;
• демонстрировать эквивалентный уровень безопасности с помощью доказательной базы;
• интегрировать новые технологии или уникальные бизнес-процессы без нарушения принципов PCI DSS;
• согласовывать подход с QSA-аудитором и документировать решения.

Индивидуальный подход повышает гибкость стандарта, но требует тщательного документирования всех применяемых мер.

Усиленные требования к MFA

Многофакторная аутентификация (MFA) стала обязательной для всех критичных систем в PCI DSS 4.0.1. Среди требований:

• MFA для всех административных и удаленных пользователей;
• регулярное тестирование MFA-процессов;
• применение современных методов (например, токены, биометрия, push-уведомления);
• интеграция MFA с логированием и мониторингом.

Эти меры направлены на минимизацию рисков несанкционированного доступа и кражи учетных данных.

Требования к сторонним провайдерам

Стандарт усилил контроль над сторонними сервис-провайдерами:

• компании обязаны документировать процессы и ответственность сторонних провайдеров;
• проверять соответствие поставщиков требованиям PCI DSS;
• контролировать доступ провайдеров к данным держателей карт;
• внедрять SLA с четкими критериями безопасности;
• проводить регулярные аудиты и мониторинг активности провайдеров.

Это критически важно, учитывая рост использования облачных сервисов и интеграций с внешними платежными системами.

Автоматическое обнаружение скриптов на платежных страницах

PCI DSS 4.0.1 требует автоматического выявления сторонних скриптов, виджетов и других компонентов на страницах, обрабатывающих платежные данные.

• выявляются потенциально опасные скрипты, внедренные без согласования;
• исключается возможность перехвата данных карт через JavaScript-атаки;
• формируется отчет для QSA-аудита;
• интегрируется с SIEM и системой мониторинга.

Ежегодное определение области применения стандарта

В PCI DSS 4.0.1 введено требование ежегодного пересмотра области применения стандарта (Scope).

Цель – гарантировать, что:

• все системы, обрабатывающие, передающие или хранящие данные карт, остаются в зоне контроля;
• новые сервисы, облака и внешние интеграции включены в Scope;
• документирование Scope актуально и соответствует аудиторским требованиям;
• исключены ненужные системы для сокращения объема контроля.

Регулярное определение области оценки помогает компаниям поддерживать соответствие и снижает риск ошибок при аудите.

Этапы получения сертификата PCI DSS

Сертификация PCI DSS – это обязательный процесс для организаций, обрабатывающих данные держателей карт. Понимание этапов сертификации помогает систематично подготовиться, пройти аудит и официально получить сертификат PCI DSS. Четкое следование всем шагам снижает риски штрафов и утечек данных.

Сроки прохождения зависят от уровня соответствия: от 2-3 недель для компаний с готовой инфраструктурой до 2-3 месяцев для крупных организаций с комплексными системами.

Этап 1: Предварительная подготовка и оценка

Цель: определить текущий уровень соответствия и подготовить инфраструктуру к сертификации.

• Заполнение анкеты для определения уровня
  Определяется уровень соответствия PCI DSS (Level 1-4) на основе объема транзакций. Результаты анкеты показывают, нужен ли полный аудит PCI DSS или достаточно листа самооценки (SAQ).
• Определение области применения стандарта (CDE - Cardholder Data Environment)
  CDE включает все системы, обрабатывающие, хранящие или передающие данные держателей карт. Это основной шаг для подготовки плана приведения в соответствие и последующего аудита.
• Инвентаризация систем, обрабатывающих данные карт
  Составляется полный список серверов, баз данных, приложений и POS-терминалов, входящих в CDE. Этот шаг критичен для корректного аудита PCI DSS и последующего получения сертификата.

Этап 2: Предварительный аудит (GAP-анализ)

Цель: выявить разрывы между текущим состоянием и требованиями стандарта.

• Оценка текущего уровня соответствия
  QSA или внутренний специалист проводит анализ процессов, политик и технических мер защиты.
• Выявление несоответствий
  Все отклонения от 12 требований PCI DSS фиксируются для подготовки плана приведения в соответствие.
• Формирование плана устранения недостатков
• Создается детальный план с задачами, сроками и ответственными, чтобы устранить все несоответствия перед финальным аудитом PCI DSS.

Этап 3: Приведение в соответствие требованиям

Цель: устранить выявленные несоответствия и подготовить инфраструктуру к сертификации.

• Внедрение технических мер защиты
  Настройка межсетевых экранов, шифрование данных, сегментация сети, защита от вредоносного ПО и реализация многофакторной аутентификации.
• Разработка нормативных документов и политик
  Политики информационной безопасности, инструкции для персонала и регламенты работы с данными карт создаются и согласовываются для аудита.
• Обучение персонала
  Персонал обучается безопасной работе в среде и правильному контролю доступа.
• Настройка систем мониторинга и логирования
  Централизованное логирование, SIEM и регулярный контроль событий помогают соответствовать требованиям и готовят инфраструктуру к финальному аудиту.

Этап 4: Тестирование на проникновение

Цель: проверить устойчивость систем к внешним и внутренним атакам.

• Внешнее тестирование
  Имитирует атаки злоумышленников из интернета для проверки защищенности публичных ресурсов.
• Внутреннее тестирование
  Анализ уязвимостей внутри сети, которые могут быть использованы при компрометации.
• Выявление и устранение уязвимостей
  Все найденные проблемы устраняются до финального аудита, чтобы гарантировать успешное получение сертификата.

Этап 5: ASV-сканирование

Цель: выявить уязвимости внешних интерфейсов CDE.

• Ежеквартальное внешнее сканирование
  Проводится через уполномоченного провайдера ASV (Approved Scanning Vendor).
• Устранение критических уязвимостей
  Все критические уязвимости устраняются до проведения финального аудита.
• Получение отчета ASV
  Документ подтверждает, что внешние системы безопасны и соответствуют стандарту.

Этап 6: Сертификационный аудит

Цель: официальная проверка соответствия 12 требованиям PCI DSS.

• Проведение финального аудита QSA-аудитором
  Аудитор оценивает инфраструктуру, документы и процессы.
• Проверка всех требований
  Все блоки – защита сети, контроль доступа, мониторинг и шифрование данных – должны быть выполнены.
• Подготовка Report on Compliance (ROC) или SAQ
  ROC для Level 1, SAQ для остальных уровней, формируют официальное подтверждение для получения сертификата.

Этап 7: Получение сертификата

Цель: оформить и получить официальное подтверждение соответствия.

• Оформление Attestation of Compliance (AOC)
  Подтверждает успешное прохождение всех этапов аудита.
• Передача отчетности в платежные системы
  Сертификат направляется банкам, эквайерам и платежным системам.
• Получение сертификата PCI DSS
  Срок действия – 12 месяцев. После чего требуется ежегодная ресертификация.

Этап 8: Поддержание соответствия

Цель: обеспечить постоянную актуальность мер безопасности и готовность к повторной сертификации.

• Ежегодная ресертификация
  Подтверждает соответствие PCI DSS и актуальность процедур.
• Постоянный мониторинг
  Логи, события безопасности и уязвимости контролируются непрерывно.
• Обновление документации при изменениях
  Любые изменения в инфраструктуре фиксируются в документации и проверяются QSA, чтобы сохранить возможность успешного получения сертификата в следующем цикле.

Этапы сертификации систематизируют подготовку и позволяют безопасно пройти аудит PCI DSS. Четкое выполнение всех шагов обеспечивает получение сертификата, минимизирует риски штрафов и утечек данных и ускоряет процесс сертификации, повышая уровень защиты сети, данных и процессов.

Стоимость сертификации PCI DSS

Процесс сертификации PCI DSS требует значительных ресурсов, и понимание стоимости PCI DSS важно для планирования бюджета компании. Цена сертификации зависит от нескольких факторов: уровня соответствия, объема транзакций, состояния инфраструктуры и типа аудита. Основной компонент расходов – затраты на аудит, включая работу QSA и внешние проверки ASV.

Факторы, влияющие на стоимость PCI DSS

1. Уровень соответствия (Level 1-4)
   Чем выше уровень (Level 1 – более 6 млн транзакций в год), тем сложнее и дороже аудит PCI DSS. Level 1 требует полного QSA-аудита и Report on Compliance (ROC), что значительно увеличивает затраты на аудит. Уровни 2-4 часто используют лист самооценки (SAQ), что снижает стоимость.
2. Объем инфраструктуры и количество систем в CDE
   Большее количество серверов, баз данных, POS-терминалов и сторонних интеграций увеличивает трудоемкость аудита и, соответственно, затраты на аудит.
3. Необходимость внедрения мер безопасности
   Если инфраструктура не соответствует требованиям (слабое шифрование, отсутствие сегментации, устаревшие протоколы) и настройку систем мониторинга увеличивают общую цену сертификации.
4. Затраты на аудит QSA
   Проведение официального аудита PCI DSS квалифицированной QSA-компанией – один из самых значительных компонентов стоимости. Он зависит от объема CDE, уровня соответствия и сложности инфраструктуры.
5. Стоимость ASV-сканирования
   Ежеквартальное внешнее сканирование через ASV (Approved Scanning Vendor) также является обязательной статьей расходов. Цена зависит от числа публичных IP-адресов и частоты сканирования.
6. Инвестиции в обучение персонала
   Персонал обучается работе с CDE, правилам контроля доступа и реагирования на инциденты, что является необходимым элементом подготовки к аудиту PCI DSS.
7. Консультационные услуги
   Консультанты помогают составить план приведения в соответствие и провести аудит. Эти услуги увеличивают затраты на аудит косвенно, сокращая сроки сертификации и снижая риски ошибок.

Стоимость сертификации PCI DSS складывается из расходов на обучение персонала, консультации и, главное, затрат на аудит. Четкое планирование всех компонентов позволяет оптимизировать процесс сертификации, снизить риски ошибок и ускорить процесс получения сертификата PCI DSS.

Несоответствие требованиям стандарта PCI DSS

Несоответствие требованиям стандарта PCI DSS несет не только риски утечки данных, но и значительные финансовые последствия. Компании, не соблюдающие 12 требований PCI DSS, могут столкнуться со штрафами, санкциями за несоответствие и рисками репутационных потерь. 

Отключение от процессинга

Крайняя мера – временное или постоянное отключение от процессинга платежных карт. Это происходит при серьезных и продолжительных нарушениях стандарта. Последствия для бизнеса:

• приостановка всех транзакций с картами;
• потеря дохода и клиентской базы;
• увеличение затрат на восстановление соответствия и повторный аудит PCI DSS.

Риски утечки данных и репутационные потери

Финансовые санкции – это лишь одна сторона проблемы. Несоблюдение стандартов повышает риски невыполнения требований и может привести к:

• утечке данных держателей карт, что грозит судебными исками;
• потере доверия клиентов и партнеров;
• снижению рейтинга в платежных системах и ограничению сотрудничества с банками.

Реальные кейсы показывают, что репутационные потери могут быть дороже самих штрафов, особенно для интернет-магазинов и сервис-провайдеров.

Соблюдение стандартов PCI DSS снижает риски штрафов, невыполнения требований и применения санкций за несоответствие. Регулярный аудит, обновление политики безопасности и мониторинг инфраструктуры позволяют не только защитить данные держателей карт, но и сохранить финансовую стабильность и доверие клиентов.

Роль QSA и ASV

Эффективная подготовка к сертификации PCI DSS невозможна без участия квалифицированных специалистов и проверенных сервисов. Два ключевых элемента процесса – участие QSA-аудитора и проведение ASV-сканирования.

Кто такой QSA (Qualified Security Assessor)

QSA (Qualified Security Assessor) – это сертифицированный эксперт, аккредитованный PCI Security Standards Council для проведения официального аудита PCI DSS.

Основные задачи QSA:

• оценка соответствия компании всем 12 требованиям PCI DSS;
• проведение независимого аудита инфраструктуры, процессов и документации;
• подготовка отчета Report on Compliance (ROC) или проверка листа самооценки (SAQ).

Функции и полномочия QSA-компаний

QSA-компании выполняют комплексные функции:

1. Аудит PCI DSS – выполнение всех проверок согласно процедурам аудита, изложенным в стандарте PCI DSS, сбор всех свидетельств аудита, демонстрирующих соответствие по каждому требованию PCI DSS.
2. Подготовка официальной документации – Report on Compliance (ROC) и Attestation of Compliance (AOC) для передачи в платежные системы.

QSA имеет полномочия проводить проверку любой части CDE и требовать предоставления документации, логов и результатов тестирования.

ASV (Approved Scanning Vendor) и его роль

ASV (Approved Scanning Vendor) – это аккредитованная компания, выполняющая ASV сканирование для проверки безопасности внешней сети организации.

Основные цели ASV:

• автоматическое обнаружение уязвимостей в публичных системах, включая веб-приложения и серверы;
• подтверждение соответствия требованиям PCI DSS по регулярному внешнему сканированию.

Требования к ASV-сканированию

Стандарт PCI DSS устанавливает следующие обязательные требования к ASV-сканированию:

• проведение ежеквартальных внешних проверок всех публичных IP-адресов и веб-ресурсов;
• устранение критических уязвимостей до подтверждения соответствия;
• предоставление отчета с результатами сканирования и рекомендациями по устранению обнаруженных угроз.

ASV не заменяет полноценный аудит PCI DSS, но является важной частью комплексной оценки безопасности.

Как выбрать QSA и ASV

При выборе QSA и ASV важно учитывать:

• наличие официальной аккредитации PCI SSC;
• опыт работы с компаниями аналогичного уровня и отрасли;
• комплексность услуг: возможность провести аудит, GAP-анализ, подготовку ROC и AOC;
• репутацию на рынке и отзывы клиентов.

Правильный выбор партнеров сокращает сроки сертификации и повышает надежность оценки.

Компания «Информзащита» как пример QSA и ASV

Компания «Информзащита» – один из ведущих российских провайдеров услуг проведения аудита PCI DSS.

• предоставляет полный спектр услуг по подготовке к аудиту PCI DSS и ASV-сканированию;
• выполняет оценку соответствия инфраструктуры;
• осуществляет сопровождение клиентов на всех этапах сертификации, включая ресертификацию и контроль исправления выявленных нарушений.

Опыт компании показывает, что комплексный подход QSA + ASV позволяет значительно снизить риски несоответствия и ускорить процесс получения сертификата.

Поддержание соответствия PCI DSS

Сертификация PCI DSS – это не одноразовое событие. Для поддержания безопасности платежных данных и соблюдения стандарта необходимо регулярное поддержание соответствия PCI DSS, включающее поддержание безопасности инфраструктуры и средств защиты информации, контроль процессов информационной безопасности и процессов работы с данными платежных карт.

Ежегодная ресертификация

Ежегодная сертификация (ресертификация) – обязательный этап для всех организаций, сертифицированных по PCI DSS. Она включает:

• проверку всех 12 требований стандарта и актуальности документации;
• подтверждение эффективности мер защиты сети, шифрования данных, контроля доступа и мониторинга;
• обновление Report on Compliance (ROC) или листа самооценки SAQ для передачи платежным системам.

Регулярная ресертификация позволяет своевременно выявлять изменения в инфраструктуре, которые могут повлиять на соответствие требованиям.

Постоянный мониторинг и аудит

Мониторинг безопасности – ключевой компонент поддержания соответствия. Он включает:

• отслеживание доступа к сетевым ресурсам и критичным данным;
• регулярный аудит журналов логов и событий безопасности;
• проведение внутреннего тестирования на проникновение и проверки уязвимостей.

Постоянный мониторинг позволяет не только поддерживать стандарт, но и быстро реагировать на инциденты, минимизируя риски утечки данных.

Обновление при изменениях в инфраструктуре

Любые изменения в IT-инфраструктуре, включая добавление новых серверов, веб-приложений или интеграцию сторонних сервисов, требуют пересмотра области применения стандарта (CDE) и проверки соответствия всем требованиям PCI DSS.

Управление изменениями

Эффективное управление изменениями включает:

• документирование всех обновлений в инфраструктуре;
• оценку влияния изменений на безопасность данных держателей карт;
• тестирование новых систем и процессов перед вводом в эксплуатацию.

Такой подход снижает вероятность нарушений требований стандарта и обеспечивает непрерывное соответствие PCI DSS.

Расширенное консультационное сопровождение

Компании часто используют услуги внешних консультантов для:

• проверки актуальности мер защиты;
• аудита процессов и процедур безопасности;
• подготовки к ресертификации и аудиту PCI DSS.

Расширенное сопровождение помогает минимизировать ошибки, ускоряет процессы обновления и поддержания соответствия, а также снижает нагрузку на внутренние ресурсы.

Реагирование на новые угрозы и уязвимости

Информационная безопасность постоянно развивается, поэтому важно:

• следить за новыми типами атак и уязвимостей;
• обновлять антивирусное ПО, межсетевые экраны и средства обнаружения вторжений;
• адаптировать политики контроля доступа и мониторинга в соответствии с текущими угрозами.

Своевременное реагирование снижает риски нарушения стандарта и обеспечивает защиту платежной информации.

Эффективное поддержание соответствия PCI DSS требует сочетания ежегодной сертификации, постоянного мониторинга безопасности, управления изменениями и реагирования на новые угрозы. Такой комплексный подход не только сохраняет сертификат, но и повышает уровень защиты сети, данных и процессов компании, минимизируя финансовые и репутационные риски.

Связь PCI DSS с другими стандартами

Стандарт PCI DSS тесно интегрирован с другими отраслевыми стандартами и нормативами безопасности, что позволяет компаниям создавать комплексную систему защиты данных платежных карт. Понимание взаимосвязи между стандартами помогает оптимизировать процессы, избежать дублирования усилий и повысить эффективность мер защиты.

PCI PIN Security для PIN-транзакций

PCI PIN Security регулирует обработку и хранение ключей шифрования PIN для транзакций с card-present транзакций – с предъявлением карты.

• обеспечивает шифрование PIN при передаче и хранении;
• требует строгого контроля доступа к устройствам, где PIN вводится и хранится;
• служит дополнением к PCI DSS, усиливая защиту критичных аутентификационных данных.

Использование PCI PIN Security особенно важно для банкоматов, POS-терминалов и процессинговых центров.

PCI 3DS для 3-D Secure платежей

PCI 3DS охватывает безопасность онлайн-платежей с использованием 3-D Secure.

• контролирует процессы аутентификации держателей карт при интернет-транзакциях;
• совмещается с PCI DSS для обеспечения комплексной защиты данных;
• снижает риск мошенничества и чарджбеков, повышая доверие клиентов.

Онлайн-магазины, которые применяют 3DS, могут дополнительно минимизировать финансовые потери при несоответствии стандартам.

PCI SSF (замена PA-DSS)

PCI SSF (Software Security Framework) пришел на смену PA-DSS, фокусируясь на безопасности программного обеспечения. Определяет требования к разработке и поддержке безопасных платежных приложений.

Использование PCI SSF обеспечивает соблюдение современных требований безопасности в 2025 году и позже.

Связь с ISO 27001

ISO 27001 – международный стандарт управления информационной безопасностью.

• PCI DSS и ISO 27001 дополняют друг друга: первый фокусируется на данных карт, второй – на общей безопасности информации;
• организации могут использовать процессы ISO 27001 для управления рисками, контроля доступа и мониторинга, что упрощает поддержание соответствия PCI DSS.

Интеграция этих стандартов позволяет создавать единую систему управления безопасностью и минимизировать дублирующие процедуры.

Типичные ошибки при сертификации

Сертификация PCI DSS – сложный процесс, и многие организации сталкиваются с типичными ошибками, которые могут замедлить аудит и увеличить риски несоответствия. Понимание этих ошибок и использование рекомендаций по внедрению позволяет минимизировать проблемы и ускорить процесс получения сертификата.

Неполная инвентаризация систем

Ошибки при учете оборудования, программного обеспечения и сетевых устройств – частая проблема.

• неполная инвентаризация приводит к незадокументированным точкам доступа и уязвимостям;
• в процессе аудита QSA выявляет незадокументированные системы, что влияет на итоговую оценку.

Слабая документация процессов

Недостаточная или устаревшая документация процессов безопасности – классическая ошибка при подготовке к сертификации.

• процессы доступа, мониторинга и обновления ПО должны быть формализованы и поддерживаться актуальными;
• без этого аудит может быть признан неполным.

Недостаточная сегментация сети

Неправильная или отсутствующая сегментация сети повышает риски утечки данных.

• Среда обработки данных платежных карт должна быть изолирована от остальных систем;
• отсутствие сегментации усложняет контроль доступа и мониторинг.

Игнорирование требований к обучению персонала

Часто компании пренебрегают обучением сотрудников по стандарту PCI DSS, что приводит к:

• нарушениям процедур работы с данными карт;
• ошибкам в обработке аутентификационных данных;
• повышенному риску инцидентов безопасности.

Отсутствие постоянного мониторинга

Некоторые организации после сертификации перестают вести регулярный мониторинг.

• это снижает эффективность защиты сети и процессов;
• пропускаются новые уязвимости и инциденты безопасности.

Использование устаревших протоколов шифрования

Применение устаревших алгоритмов и протоколов шифрования (например, SSL, TLS 1.0) приводит к несоответствию стандарту.

• PCI DSS 4.0.1 требует современных методов защиты данных при передаче и хранении;
• несоблюдение этого требования обнаруживается на аудите и ASV-сканировании.

Понимание типичных проблем сертификации PCI DSS и использование рекомендаций по внедрению процессов, сетевой сегментации, обучения персонала и мониторинга позволяет заранее скорректировать процедуры, повысить качество подготовки и ускорить аудит. Это снижает риски несоответствия, финансовых санкций и репутационных потерь.

Практические рекомендации по внедрению PCI DSS

Соблюдение стандарта PCI DSS требует комплексного подхода к защите платежных данных. Опыт сертифицированных компаний позволяет выделить ключевые рекомендации PCI DSS и лучшие практики, которые помогают повысить безопасность, упростить аудит и снизить риски несоответствия при внедрении стандарта.

Минимизация объема хранимых данных карт

• храните только те данные, которые необходимы для бизнес-процессов;
• исключайте CVV2/CVC2 и данные магнитной полосы после проведения транзакций;
• принцип «минимальных данных» снижает риски утечки и облегчает подготовку к аудиту.

Сегментация сети и изоляция CDE

• изолируйте среду обработки данных платежных карт от корпоративной сети;
• сегментация снижает риск несанкционированного доступа и упрощает мониторинг.

Использование токенизации и шифрования

• применяйте токенизацию, заменяя реальные номера карт уникальными идентификаторами;
• шифруйте данные при хранении и передаче с помощью современных алгоритмов (AES 128+ и TLS 1.2+).

Регулярные обновления ПО

• поддерживайте актуальные версии операционных систем, баз данных, приложений и средств защиты;
• используйте централизованное управление патчами для своевременного устранения уязвимостей.

Многофакторная аутентификация для критичных систем

• внедряйте MFA для всех систем, обрабатывающих платежные данные;
• MFA защищает учетные записи даже при утечке паролей.

Централизованное логирование и SIEM

• собирайте логи всех критичных систем и сетевых устройств в централизованную систему SIEM;
• обеспечивает своевременное выявление аномалий и инцидентов;
• упрощает подготовку к аудиту и поддержание внедрения стандарта.

Регулярное тестирование средств защиты

• проводите внутренние и внешние тесты на проникновение;
• ежеквартально выполняйте ASV-сканирование;
• выявляйте уязвимости и оперативно их устраняйте, следуя рекомендациям PCI DSS.

Работа с проверенными вендорами и партнерами

• используйте только сертифицированные и проверенные решения;
• убедитесь, что сторонние сервис-провайдеры соответствуют требованиям PCI DSS.

Эффективное соблюдение рекомендаций при внедрении стандарта включает:

• минимизацию данных карт
• сегментацию сети
• токенизацию и шифрование
• регулярные обновления ПО
• многофакторную аутентификацию
• централизованное логирование и SIEM
• регулярное тестирование
• работа с проверенными вендорами

Это позволяет успешно пройти аудит, получить сертификат и поддерживать высокий уровень защиты данных держателей карт.

Заключение

Сертификация PCI DSS является обязательным инструментом для обеспечения безопасности платежей и защиты данных держателей карт в современных компаниях, работающих с платежными системами. Правильное прохождение всех этапов сертификации помогает минимизировать риски утечек информации, штрафов и репутационных потерь, а также обеспечивает соответствие международным стандартам безопасности.

Одним из ключевых преимуществ соответствия стандарту является формирование надежной системы защиты сети, данных и процессов, включая внедрение шифрования, многофакторной аутентификации, сегментацию сети и регулярный мониторинг критичных систем. Эти меры не только повышают уровень информационной безопасности, но и упрощают проведение аудитов PCI DSS и поддержание внедрения стандарта в долгосрочной перспективе.

Современные изменения в версии 4.0.1 делают акцент на индивидуальном подходе к выполнению требований, усилении контроля за сторонними провайдерами, автоматическом обнаружении скриптов на платежных страницах и регулярном пересмотре области применения стандарта. Это позволяет компаниям адаптировать процессы под свои уникальные бизнес-процессы, сохраняя высокий уровень защиты данных карт.

Для бизнеса прохождение сертификации PCI DSS – это не просто формальность, а инвестиция в доверие клиентов, снижение финансовых рисков и устойчивость к киберугрозам. Компании, которые внедряют лучшие практики и соблюдают рекомендации PCI DSS, получают конкурентное преимущество на рынке, обеспечивая своим клиентам безопасные платежные операции.

Начните подготовку к сертификации уже сегодня – систематическая работа над соответствием стандарту PCI DSS гарантирует надежную защиту данных карт, упрощает аудит и создает основу для долгосрочной информационной безопасности.

FAQ (Часто задаваемые вопросы)

1. Сколько стоит сертификация PCI DSS?

Стоимость зависит от уровня соответствия вашей организации, объема транзакций и сложности инфраструктуры.

2. Как долго действует сертификат PCI DSS?

Сертификат действует 12 месяцев. По истечении срока необходимо пройти ежегодную ресертификацию и подтвердить соответствие стандарту.

3. Можно ли пройти сертификацию самостоятельно?

Для некоторых уровней (Level 2–4) возможно использование листов самооценки (SAQ). Однако для полноценного прохождения аудита PCI DSS рекомендуется привлекать сертифицированного QSA.

4. Чем отличается PCI DSS 4.0 от версии 3.2.1?

В версии 4.0 усилены требования к многофакторной аутентификации (MFA), введен индивидуальный подход к выполнению требований (Customized Approach), обязательны новые проверки и ежегодное определение области применения стандарта.

5. Что будет, если не получить сертификат вовремя?

Несвоевременное получение сертификата может привести к штрафам со стороны Платежной системы/платежного бренда, отключению от процессинга, а также к рискам утечки данных и репутационным потерям.

6. Что такое QSA и ASV?

• QSA (Qualified Security Assessor) – сертифицированный аудитор, который проводит аудит PCI DSS и проверяет выполнение всех требований стандарта.
• ASV (Approved Scanning Vendor) – компания, выполняющая внешнее сканирование на уязвимости (ASV-сканирование) и подтверждающая безопасность системы.

7. Как часто нужно проходить ASV-сканирование?

Ежеквартально – это обязательная процедура для всех компаний, обрабатывающих платежные карты, а также тех, кто обеспечивает безопасность хранения платежных данных.

8. Можно ли хранить CVV2/CVC2 после транзакции?

Нет. Стандарт безопасности данных запрещает хранение CVV2/CVC2 после завершения транзакции, чтобы предотвратить утечки данных.

9. Как определить к какому уровню ТСП или сервис-провайдера относится ваша компания??

Для ТСП – обратиться к своему Банку-эквайеру, для сервис-провайдеров и других участников платежных систем – обратиться в платежную систему.