Payment Card Industry Data Security Standard (PCI DSS) — стандарт безпеки даних індустрії платіжних карток, розроблений Радою стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованим міжнародними платіжними системами Visa, MasterCard, American Express, JCB та Discover.
Стандарт PCI DSS є сукупністю 12 деталізованих вимог щодо забезпечення безпеки даних про власників платіжних карток, які передаються, зберігаються та обробляються в інформаційних інфраструктурах організацій. Вжиття відповідних заходів щодо забезпечення відповідності вимогам стандарту передбачає комплексний підхід до забезпечення інформаційної безпеки даних платіжних карток.
Вимоги стандарту PCI DSS поширюються на всі компанії, що працюють із міжнародними платіжними системами Visa та MasterCard. Залежно від кількості транзакцій, що обробляються, кожній компанії присвоюється певний рівень з відповідним набором вимог, які вони повинні виконувати. В рамках вимог стандарту передбачаються щорічні аудиторські перевірки компаній, а також щоквартальне сканування мереж.
Стандарт PCI DSS об’єднує вимоги низки програм міжнародних платіжних систем із захисту інформації, зокрема:
- у MasterCard – Site Data Protection (SDP);
- у Visa у США – Cardholder Information Security (CISP);
- у Visa в Європі – Account Information Security (AIS).
Різні міжнародні платіжні системи висувають різні вимоги до процесу сертифікації PCI DSS. Розрізняють рівні сертифікації для торгово-сервісних підприємств (Мерхант) і постачальників послуг.
Існують такі методи перевірки відповідності вимогам стандарту PCI DSS:
- зовнішній QSA-аудит, що виконується PCI QSA-компанією на об’єкті організації, що перевіряється;
- заповнення листа самооцінки (SAQ);
- автоматизоване ASV-сканування вразливостей периметра мережі.
Метод перевірки відповідності або комбінація методів вибирається залежно від рівня сертифікації торгово-сервісного підприємства або підприємства — постачальника послуг.
