PCI DSS
Соответствие требованиям стандарта PCI DSS
Стандарт PCI DSS (Payment Card Industry Data Security Standard) устанавливает строгие требования к защите данных платёжных карт. Ключевой принцип — максимально ограничить доступ к конфиденциальной информации. Оптимальное решение для бизнеса — полностью исключить прямой доступ к данным карт, делегировав эту задачу сертифицированным платёжным провайдерам.
Основные запреты и правила обработки данных
Категорически запрещено:
- запрашивать номера платёжных карт у клиентов;
- принимать номера карт через небезопасные каналы связи;
- передавать номера карт любым способом вне защищённого контура.
Алгоритм действий в типовых ситуациях:
Телефонный звонок: если клиент пытается продиктовать номер карты из‑за проблем с платежом:
- вежливо прервите клиента;
- объясните, что по правилам безопасности нельзя принимать такие данные по телефону;
- предложите безопасный способ решения проблемы (например, повторить платёж через защищённую форму на сайте).
Электронные каналы связи (e‑mail, мессенджеры, соцсети): если клиент отправил номер карты:
- немедленно удалите сообщение;
- уведомите клиента о нарушении правил безопасности;
- порекомендуйте безопасные способы связи для решения вопроса;
- попросите в будущем не передавать подобные данные через открытые каналы связи.
Какие данные подлежат защите
К защищаемым данным относятся:
1. Персональные данные владельцев карт:
- PAN (номер карты);
- имя владельца карты;
- срок действия карты.
2. Критичные данные аутентификации (КАД):
- коды верификации: CVV2, CVC2, CVP2, ППК2;
- PIN‑код;
- данные с магнитной полосы карты;
- иные данные, используемые для подтверждения подлинности карты.
Правила хранения данных
Требования к хранению различаются в зависимости от типа данных:
1. Критичные аутентификационные данные (КАД) — строго запрещено хранить в любом виде после завершения авторизации транзакции. Это включает временные копии, логи и резервные копии.
2. PAN (номер карты) — допускается хранить, но только в защищённом виде. Разрешённые форматы:
- зашифрованные данные (с использованием сертифицированных алгоритмов шифрования);
- хешированные значения (необратимое преобразование);
- маскированные данные (разрешено отображать только BIN и последние 4 цифры, остальные символы должны быть скрыты — например, 1234****5678).
3. Имя владельца и срок действия карты — можно хранить в открытом виде, поскольку эти данные не считаются критически уязвимыми с точки зрения стандарта PCI DSS.
Соответствие PCI DSS с использованием Tranza
Tranza — сертифицированный сервис‑провайдер с максимальным уровнем соответствия стандарту PCI DSS. Это означает, что сервис:
- имеет право хранить данные платёжных карт в соответствии с требованиями безопасности;
- может обрабатывать более 6 миллионов платежей ежегодно;
- проходит ежегодный сертификационный аудит для подтверждения соответствия стандарту.
Преимущества работы с Tranza:
- все платёжные инструменты сервиса спроектированы с учётом требований PCI DSS;
- при использовании стандартных решений вы автоматически соответствуете требованиям безопасности — дополнительные меры защиты не требуются;
- платформа берёт на себя основную нагрузку по обеспечению защиты данных, снижая риски для вашего бизнеса.
Особые условия: приём платежей по технологии Checkout
Для использования технологии Checkout необходимо дополнительно подтвердить соответствие требованиям PCI DSS:
- Заполнение листа самооценки (Self‑Assessment Questionnaire, SAQ) — документ, в котором компания подтверждает выполнение ключевых требований стандарта.
- Ежеквартальное сканирование уязвимостей — регулярная проверка сайта на наличие слабых мест с помощью специализированного сканера, одобренного PCI SSC (Совет по стандартам безопасности PCI).
- Мониторинг изменений — при внесении любых изменений в платёжную инфраструктуру необходимо повторно оценить соответствие требованиям.
Следуя этим правилам и используя надёжные платёжные решения, такие как Tranza, вы обеспечите высокий уровень защиты данных и соответствие международным стандартам безопасности.