Стандарт PCI DSS

В ПС «Мир» для обеспечения безопасности данных карт «Мир» используется международный индустриальный стандарт PCI Data Security Standard (PCI DSS)

Этот стандарт должен применяться всеми организациями, которые хранят, обрабатывают и передают данные карт «Мир», а также организациями, которые не хранят, не передают и не обрабатывают данные карт ПС «Мир», но имеют возможность влиять на безопасность данных карт ПС «Мир». К таким организациям относятся и торгово-сервисные предприятия, которые принимают к оплате карты «Мир».

Стандарт PCI DSS — это международный стандарт безопасности, созданный специально для защиты данных платежных карт. Он позволяет защитить организацию от инцидентов безопасности и обеспечить необходимый уровень защищенности во всей платежной системе.

Действующая русскоязычная версия PCI DSS 3.2.1

Требования

PCI DSS содержит более 250 требований, которые позволяют достичь определенных целей защиты.

Сгруппированы по направлениям защиты и целям:
цель
Создание и поддержка защищенной сети и систем
Группы требований PCI DSS
Требование 1

Установить и поддерживать конфигурацию межсетевых экранов для защиты данных

Требование 2

Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию

цель
Защита данных Держателей карт
Группы требований PCI DSS
Требование 3

Защищать хранимые данные держателей карт

Требование 4

Шифровать данные держателей карт при их передаче в открытых общедоступных сетях

цель
Ведение программы по управлению уязвимостями
Группы требований PCI DSS
Требование 5

Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы

Требование 6

Разрабатывать и поддерживать безопасные системы и приложения

цель
Внедрение строгих мер контроля доступа
Группы требований PCI DSS
Требование 7

Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью

Требование 8

Определять и подтверждать доступ к системным компонентам

Требование 9

Ограничить физический доступ к данным держателей карт

цель
Регулярный мониторинг и тестирование сети
Группы требований PCI DSS
Требование 10

Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт

Требование 11

Регулярно выполнять тестирование систем и процессов обеспечения безопасности

цель
Поддержание политики информационной безопасности
Группы требований PCI DSS
Требование 12

Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации

Самооценка PCI DSS

Может проводиться ТСП самостоятельно. ТСП вправе привлекать QSA для помощи в проведении самооценки. QSA должен быть привлечен для проведения оценки ТСП на соответствие набору требований PCI DSS, указанных в соответствующем Листе самооценки (SAQ), если того потребует Банк-эквайрер.

ТСП могут направлять свои вопросы о выполнении требований PCI DSS на адрес mirsecurity@nspk.ru.
Программа безопасности ПС «Мир» определяет контрольные процедуры по соответствию Участников ПС «Мир» и организаций, с которыми они взаимодействуют, требованиям PCI DSS. Форма подтверждения соответствия зависит от категории организации и ее уровня. Требования к типам и уровням ТСП указаны на странице Программа безопасности. Подтверждение соответствия организаций требованиям Стандарта PCI DSS может выполняться путем проведения сертификационного аудита или проведения самооценки.

Сертификационный аудит в ТСП имеет право проводить организация, имеющая статус Qualified Security Assessor (QSA) и указанная в списке или сертифицированный внутренний аудитор, имеющий статус Internal Security Assessor (ISA) и указанный в списке.