PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных, разработанный Советом по стандартам безопасности платёжных карт (PCI SSC) — организацией, основанной Visa, Mastercard, American Express, Discover и JCB в 2004 году. Стандарт обязателен для всех организаций, которые хранят, обрабатывают или передают данные платёжных карт (CHD — Cardholder Data).
12 требований PCI DSS
PCI DSS версии 4.0.1 содержит 12 требований, сгруппированных в 6 категорий:
- Защита сети: 1) Установить и поддерживать средства сетевой защиты (файрволы). 2) Безопасная конфигурация всех компонентов системы.
- Защита данных карт: 3) Защита хранимых данных карт. 4) Шифрование передачи данных по открытым сетям (TLS 1.2+).
- Управление уязвимостями: 5) Защита от вредоносного ПО. 6) Разработка и поддержка безопасных систем — патчинг критических уязвимостей за 30 дней.
- Контроль доступа: 7) Ограничение доступа к данным по принципу необходимости. 8) Идентификация и аутентификация (MFA). 9) Физическая защита оборудования.
- Мониторинг и тестирование: 10) Логирование и мониторинг доступа к ресурсам. 11) Регулярное тестирование безопасности (пентесты).
- Политика безопасности: 12) Поддержание политики информационной безопасности.
Уровни соответствия
Организации делятся на 4 уровня по количеству транзакций в год:
- Level 1 — более 6 млн транзакций. Требует ежегодный аудит QSA (Qualified Security Assessor) и ежеквартальное сканирование ASV.
- Level 2 — 1–6 млн транзакций. Ежегодная самооценка (SAQ) + сканирование ASV.
- Level 3 — 20 000–1 млн транзакций (интернет-магазины). SAQ + сканирование.
- Level 4 — менее 20 000 транзакций. SAQ (Self-Assessment Questionnaire).
PCI DSS и хостинг
Для интернет-магазинов, обрабатывающих платежи, хостинг должен соответствовать требованиям PCI DSS. Варианты соответствия:
- Использовать PCI DSS-сертифицированный хостинг — ответственность частично переходит к провайдеру.
- Не хранить данные карт на собственном сервере — использовать внешний платёжный шлюз (Stripe, YooKassa, Robokassa). Шлюз берёт на себя соответствие PCI DSS.
История
До 2004 года крупные платёжные системы имели собственные стандарты безопасности: Visa — CISP, Mastercard — SDP. Унификация привела к созданию PCI DSS 1.0 в декабре 2004 года. Версия 2.0 вышла в 2010, версия 3.0 в 2013, версия 3.2.1 в 2018. PCI DSS 4.0 выпущен в марте 2022 года, версия 4.0.1 — в июне 2024 года с уточнением требований по MFA и патчингу.
На что обращать внимание
Самая дешёвая стратегия PCI DSS для малого бизнеса — не хранить данные карт вовсе, делегировав приём платежей на сертифицированный шлюз. Это сводит объём работ по соответствию к минимуму (SAQ A — 12 вопросов). Штраф за нарушение PCI DSS — от $5 000 до $100 000 в месяц по усмотрению платёжной системы, плюс расходы на forensic investigation при утечке. SSL/TLS с версией ниже 1.2 нарушает требования PCI DSS с 2018 года.
PCI DSS и хостинг
PCI DSS (Payment Card Industry Data Security Standard) — требования к безопасности обработки данных платёжных карт. Уровни: Level 1 (>6 млн транзакций/год) — аудит QSA; Level 4 (<20 000) — самооценка SAQ. Хостинг для PCI DSS: провайдер должен быть PCI DSS Compliant. На VPS: шифрование данных в покое (LUKS/TDE), SSL/TLS 1.2+ для всех соединений, изоляция сети с данными карт. Пентест — обязательное требование PCI DSS (раз в год). Альтернатива собственной инфраструктуры: интеграция со сертифицированными платёжными шлюзами (Stripe, CloudPayments, Tinkoff) — они берут на себя PCI DSS, вашему хостингу требуется минимальный SAQ-A.