Главная Стандарты Отрасли Почему BALTUM ✦ AI-оценка — baltum.ai Получить расчёт →
ГлавнаяСтандарты → PCI DSS

PCI DSS — Стандарт безопасности данных индустрии платёжных карт

Обязательный стандарт безопасности для всех организаций, которые хранят, обрабатывают или передают данные платёжных карт. BALTUM сопровождает торговых операторов, платёжных процессоров и сервис-провайдеров в процессе соответствия PCI DSS v4.0 — от самооценки SAQ до полного отчёта о соответствии (ROC).

PCI DSS v4.0Безопасность платежейSAQROCДанные держателей карт

Что такое PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) — это набор требований безопасности, установленный Советом по стандартам безопасности PCI (PCI SSC), основанным American Express, Discover, JCB, Mastercard и Visa. PCI DSS v4.0, выпущенный в марте 2022 года, является действующей версией стандарта (v3.2.1 отозвана в марте 2024 года).

Соответствие обязательно для любой организации, которая хранит, обрабатывает или передаёт данные держателей карт, вне зависимости от объёма транзакций. Несоблюдение требований может повлечь штрафы, повышение комиссий за транзакции и лишение права принимать карты.

Уровни соответствия PCI DSS

  • Уровень 1 — торговые операторы с объёмом более 6 миллионов транзакций в год; требуется ежегодный ROC от QSA и ежеквартальное сканирование сети.
  • Уровень 2 — от 1 до 6 миллионов транзакций в год; ежегодный SAQ и ежеквартальное сканирование.
  • Уровень 3 — от 20 000 до 1 миллиона транзакций электронной коммерции; ежегодный SAQ и ежеквартальное сканирование.
  • Уровень 4 — менее 20 000 транзакций электронной коммерции или до 1 миллиона прочих транзакций; рекомендуется ежегодный SAQ.

Ключевые изменения PCI DSS v4.0

  • Индивидуальный подход (Customised Approach) для организаций со зрелыми мерами контроля
  • Новые требования к устойчивой к фишингу многофакторной аутентификации (MFA)
  • Расширенные требования к безопасности электронной коммерции и платёжных страниц (Требование 6.4)
  • Новые требования к целевому анализу рисков
  • 64 новых требования с отложенной датой вступления в силу (обязательны с марта 2025)

Сопровождение PCI DSS от BALTUM

  • Определение области применения и картирование среды данных держателей карт (CDE)
  • GAP-анализ на соответствие требованиям PCI DSS v4.0
  • Дорожная карта устранения несоответствий и поддержка внедрения мер контроля
  • Поддержка заполнения SAQ (SAQ A, A-EP, B, C, D в зависимости от применимости)
  • Подготовка ROC и координация с QSA для торговых операторов Уровня 1
  • Координация ежеквартального сканирования уязвимостей ASV

Интеграция с ISO 27001

PCI DSS и ISO 27001 имеют значительное пересечение мер контроля в области управления доступом, управления уязвимостями, журналирования и мониторинга, а также реагирования на инциденты. Интегрированная программа BALTUM сопоставляет оба набора требований в единую систему контроля, минимизируя дублирование и снижая общие затраты на обеспечение соответствия.