Первоначальная версия стандарта PCI DSS (Payment Card Industry Data Security Standard) 1.0 была выпущена в декабре 2004 года. Затем спустя почти два года, в сентябре 2006-го была принята версия 1.1.
Совет PCI DSS, придерживается трехлетнего цикла обновления стандарта. Первый год — это введение стандарта в индустрию платежных карт. В течение второго года происходит сбор обратной связи от участников индустрии платежных карт, замечания, недостатки, пожелания, предложения по оптимизации и т. д. Третий год отводится на подготовку новой версии стандарта. Между каждым этапом проводятся совещания, конференции и активные обсуждения, которые состоят из американской сессии и европейской. На данный момент актуальной версией является 3.2.1., принятая в 2018 году.
PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт. Также стандарт применим к тем организациям, которые планируют стать участниками индустрии платежных карт.
В структуру стандарта входят: 6 задач, 12 общих требований и 239 процедур оценки.
Для соответствия стандарту необходимо выполнение общих требований, которые можно условно разделить на следующие пункты:
Но в пунктах выше определены только основные направления. В самом же стандарте содержится порядка 440 проверочных процедур.
В нормативных документах определены 4 уровня сертификатов PCI DSS, которые, в первую очередь, отличаются максимально возможным количеством обрабатываемых транзакций:
Сертификация на соответствие требованиям PCI DSS Level 1 проводится только с привлечением независимого аудитора (QSA) и позволяет обрабатывать более 6 млн транзакций в год. Процедура сертификации включает в себя обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту, консультационную поддержку при внедрении.
Сертификация на соответствие требованиям стандарта PCI DSS Level 1 международные платежные системы (МПС) предъявляют к компаниям, предоставляющим услуги интернет-эквайринга.
Предприятия, реализующие товары или услуги через Интернет, проходят сертификацию на соответствие требованиям PCI DSS по ряду причин:
Сертификация PCI DSS позволяет работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия. Это позволяет исключить переход покупателя на сайт нелегальной сторонней организации, возможно даже мошеннической.
Кроме того, если имеется собственная платежная система, то появляется возможность работать напрямую сразу с несколькими банками, подключенными к этой системе, что ускоряет время нескольких платежей между ними. При таком подходе к проведению платежей, их авторизация осуществляется последовательно в нескольких банках и процессинговых центрах, что позволяет значительно снизить процент отклоненных транзакций.
Компаниям необходимо вести борьбу с мошенническими операциями при обработке данных банковских карт на своем сайте. Выстроить собственную систему мониторинга и борьбы с мошенническими операциями (анти-фрод). Её основное назначение – определение операций как «мошеннические» по определенным признакам (например, подмена счета и т. д.).
Построение собственной анти-фрод системы логично и экономически обосновано для компаний с большим оборотом платежей по банковским картам, для которых ущерб по мошенническим операциям существенно может повлиять на репутацию, и соответственно, может повлиять и на финансовое состояние компании. Для таких компаний контроль над системой фильтрации платежей является критически важным.
Таким образом, если компания собирается пройти сертификацию на соответствие PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования стандарта PCI DSS. Эти требования предъявляются к безопасности на уровне сетей, оборудования, приложений, баз данных, физических хранилищ, документирования и управления процессами.
К компаниям, работающим только с платёжным шлюзом и не принимающих на своем сервере данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ). Они касаются сайта предприятия электронной торговли, корректности контента и ценовых предложений, организационной формы компании.