Стандарт PCI DSS
В ПС «Мир» для обеспечения безопасности данных карт «Мир» используется международный индустриальный стандарт PCI Data Security Standard (PCI DSS)
Этот стандарт должен применяться всеми организациями, которые хранят, обрабатывают и передают данные карт «Мир», а также организациями, которые не хранят, не передают и не обрабатывают данные карт ПС «Мир», но имеют возможность влиять на безопасность данных карт ПС «Мир». К таким организациям относятся и торгово-сервисные предприятия, которые принимают к оплате карты «Мир».
Стандарт PCI DSS — это международный стандарт безопасности, созданный специально для защиты данных платежных карт. Он позволяет защитить организацию от инцидентов безопасности и обеспечить необходимый уровень защищенности во всей платежной системе.
Действующая русскоязычная версия PCI DSS 3.2.1
Требования
PCI DSS содержит более 250 требований, которые позволяют достичь определенных целей защиты.
Установить и поддерживать конфигурацию межсетевых экранов для защиты данных
Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию
Защищать хранимые данные держателей карт
Шифровать данные держателей карт при их передаче в открытых общедоступных сетях
Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы
Разрабатывать и поддерживать безопасные системы и приложения
Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью
Определять и подтверждать доступ к системным компонентам
Ограничить физический доступ к данным держателей карт
Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт
Регулярно выполнять тестирование систем и процессов обеспечения безопасности
Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации
Самооценка PCI DSS
Сертификационный аудит в ТСП имеет право проводить организация, имеющая статус Qualified Security Assessor (QSA) и указанная в списке или сертифицированный внутренний аудитор, имеющий статус Internal Security Assessor (ISA) и указанный в списке.