PCI DSS
PCI DSS — стандарт безопасности платёжных карт. Обязателен для всех, кто принимает, обрабатывает или хранит данные карт. Регулирует шифрование, доступ, аудит. Несоблюдение — штрафы до $100k в месяц от Visa/Mastercard.
Payment Card Industry Data Security Standard (PCI DSS) — стандарт, разработанный в 2004 году совместно Visa, Mastercard, American Express, Discover и JCB. Управляется PCI Security Standards Council (PCI SSC). Текущая версия: 4.0 (вступила в силу 2024).
12 базовых требований PCI DSS: 1. Установить и поддерживать firewall. 2. Не использовать дефолтные пароли поставщика. 3. Защищать сохранённые данные карт (шифрование AES-256, отдельные хранилища). 4. Шифровать передачу данных карт (TLS 1.2+). 5. Использовать антивирус и регулярно обновлять. 6. Разрабатывать и поддерживать безопасные системы. 7. Ограничивать доступ к данным карт по принципу need-to-know. 8. Идентифицировать и аутентифицировать каждый доступ. 9. Ограничивать физический доступ к данным. 10. Отслеживать и логировать все доступы. 11. Регулярно тестировать на уязвимости. 12. Иметь политику информационной безопасности.
Уровни сертификации (по объёму транзакций): - Level 1: > 6 млн транзакций/год — обязательный внешний аудит. - Level 2-4: меньше — упрощённый Self-Assessment Questionnaire (SAQ).
Что важно знать пользователю: ни один легитимный магазин или сервис не должен хранить ваш полный номер карты + CVV. Если сайт «сохраняет карту» для повторных платежей — это всегда токен (псевдо-номер), а не оригинал. Виртуальные карты можно дополнительно защитить, используя одноразовые номера для подписок.