PCI DSS (Payment Card Industry Data Security Standard) — стандарт информационной безопасности, обязательный для всех организаций, которые хранят, обрабатывают или передают данные платёжных карт Visa, Mastercard, American Express, Discover и JCB. Разработан и поддерживается советом PCI SSC (Payment Card Industry Security Standards Council), основанным в 2006 году.
Структура требований
Стандарт включает 12 ключевых требований, сгруппированных в 6 категорий. Сети и системы должны иметь межсетевые экраны, запрет на заводские пароли по умолчанию. Данные карт защищаются шифрованием при хранении и передаче. Уязвимости устраняются через регулярное обновление ПО. Доступ к данным разграничен по принципу минимальных привилегий. Все действия с защищаемыми данными логируются и мониторируются. Сети регулярно тестируются на проникновение.
Для соответствия хостинг-инфраструктура должна быть физически или логически изолирована от остальных систем. Сервера, хранящие или обрабатывающие данные карт, образуют Cardholder Data Environment (CDE). Любой компонент CDE — сервер, сетевое устройство, приложение — подпадает под полный набор требований PCI DSS.
Версия PCI DSS 4.0 опубликована в марте 2022 года, PCI DSS 3.2.1 прекратил действие в марте 2024 года. Версия 4.0 добавила требования к многофакторной аутентификации для всех административных доступов и к мониторингу скриптов на страницах оплаты.
История
До 2004 года каждая карточная сеть имела собственные требования безопасности: CISP (Visa), SDP (Mastercard), DSOP (American Express). В декабре 2004 года они объединились в единый стандарт PCI DSS 1.0. В 2006 году основан PCI SSC для управления стандартом. Версии: 1.1 (2006), 1.2 (2008), 2.0 (2010), 3.0 (2013), 3.2 (2016), 4.0 (2022).
Уровни соответствия
- Level 1 — более 6 млн транзакций в год. Обязателен ежегодный аудит квалифицированного QSA-аудитора.
- Level 2 — 1–6 млн транзакций. Самооценка SAQ или аудит QSA.
- Level 3 — 20 000–1 млн онлайн-транзакций. Самооценка SAQ.
- Level 4 — менее 20 000 онлайн-транзакций. Самооценка SAQ.
Связь с хостингом
Хостинг-провайдер, чья инфраструктура попадает в CDE клиента, сам становится участником периметра PCI DSS. VPS- и облачные платформы с PCI DSS-сертификацией берут на себя часть требований инфраструктурного уровня (физическая безопасность, сетевая сегментация), снимая её с клиента. При размещении платёжных приложений выбирайте провайдеров с действующим сертификатом PCI DSS Service Provider Level 1.
Уровни PCI DSS
PCI DSS делит торговцев на 4 уровня по числу транзакций в год. Уровень 1 (>6 млн): ежегодный аудит QSA (Qualified Security Assessor). Уровень 2–3 (20 000–6 млн): квартальный скан + ежегодный SAQ. Уровень 4 (<20 000): ежегодный SAQ + квартальный скан по необходимости.
Технические требования к хостингу
Сеть: фаервол, сегментация CDE (cardholder data environment) от остальной сети через VLAN. ОС: патчи критических уязвимостей в течение 1 месяца. Шифрование в транзите: TLS 1.2 минимум. Логи: хранение 1 год (3 месяца онлайн). WAF или ручной код-ревью.
PCI DSS в контексте хостинга
Хостинг на PCI DSS-совместимой инфраструктуре не автоматически делает приложение совместимым. Ответственность разделяется: хостер отвечает за физическую и сетевую безопасность, клиент — за приложение и данные. Облака AWS, Azure предоставляют PCI DSS Compliance Package — готовые архитектурные схемы и отчёты аудита.
Стандарт PCI DSS требует комплексной защиты: файрвол и WAF для сетевой безопасности, SSL/TLS для шифрования, резервное копирование данных. Соответствие требует VPS или выделенного сервера — shared-хостинг не подходит.