PA DSS стандарт

В целях повышения безопасности данных потребителей и доверия к платежной экосистеме был создан набор стандартов безопасности данных. Одним из них является стандарт PA DSS (Стандарт безопасности данных платежных приложений), который определяет требования безопасности для программного обеспечения, обрабатывающего платежные карты. Этот стандарт гарантирует, что конфиденциальные данные держателя карты защищены от несанкционированного использования. Все программное обеспечение, которое используется для чтения платежных карт, должно быть сертифицировано в соответствии с требованиями PA DSS.

Более подробную информацию о протоколе, используемом в оборудовании для обслуживания банковских карт, вы можете найти в этом документе Implementation Guide AsyncPOS.

PCI DSS стандарт

Другим важным требованием, которое применяется ко всем организациям, которые хранят, обрабатывают или передают данные о держателях карт и / или конфиденциальные данные аутентификации, является стандарт PCI DSS (Стандарт безопасности данных платежных карт). Этот стандарт определяет уровень защиты потребителей и помогает снизить уровень мошенничества и утечки данных.
В зависимости от количества транзакций по платежным картам, обработанных за 12-месячный период, существует 4 уровня соответствия PCI и соответствующие требования.

  • Уровень 1 применяется к сервис провайдером и организациям, которые обрабатывают более 6 миллионов транзакций в год по платежным картам VISA или MasterCard. Эти компании должны ежегодно проводить независимый PCI аудит.
  • Уровень 2 применяется к организациям, которые обрабатывают от 1 до 6 миллионов платежных операций в год. Они должны выполнить независимую ежегодную оценку соответствия требованиям PCI DSS.

Основные преимущества решения для обслуживания платежных карт:

  • Обеспечивает надежное и безопасное предоставление услуг по обслуживанию платежных карт.
  • Упрощает процесс сертификации PCI DSS для торгового предприятия.
  • Позволяет торговому предприятию снизить расходы на сертификации PCI DSS вплоть до 5 раз.

В представленной ниже таблице указано, какие требования PCI DSS являются обязательными при использовании решения по обслуживанию банковских карт.

 

 № Требования PCI DSS  Oбязательное*
1  Контролировать брандмауэр компьютерной сети для защиты данных владельца карточки  нет
2  Не использовать стандартные или легко угадываемые пароли  нет
3  Защитить данные владельца карт  да
4  Использовать шифрование карточных данных при передаче данных через публичные компьютерные сети  нет
5  Использовать и регулярно обновлять антивирусные программы  нет
6  Устанавливать и контролировать системы сетевой безопасности сети  нет
7  Ограничивать доступ к карточным данным  нет
8  Использовать уникальные данные присоединения для каждого компьютера  нет
9  Ограничивать физический доступ к данным карточки  да
10  Отслеживать все доступы к компьютерным сетям и карточным данным  нет
11  Постоянно тестировать системы безопасности  нет
12  Внедрить и постоянно обновлять документированные процедуры информационной безопасности  да

* Информация основана на опыте сертификации PCI DSS клиентов EPS LT. Окончательное решение об обязательном требовании принимается аудитором PCI QSA.