PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан Советом по стандартам безопасности индустрии платежных карт, учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.
PCI DSS применяется для всех организаций сферы обработки платежных карт:
- торговых точек,
- процессинговых центров,
- финансовых учреждений,
- поставщиков услуг, а также
- других организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.
Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS:
1) проведение внешнего аудита (QSA- Qualified Security Assessor)
Данный аудит выполняется внешней аудиторской организацией QSA, сертифицированной Советом PCI SSС. В ходе проведения аудита аудиторами фиксируются наблюдения – свидетельства выполнения требований стандарта, и формируется итоговый отчёт о соответствии — ROC (Report on Compliance).
2) проведение внутреннего аудита (ISA– Internal Security Assessor) – осуществляется внутренним аудитором, прошедшим обучение и сертифицированным по программе Совета PCI SSC. Внутренний аудит может быть проведен только в случае, если первично соответствие было подтверждено QSA-аудитом. Внутренний аудитор также собирает свидетельства выполнения требований стандарта и сохраняет их в течение трёх лёт. На данном этапе может быть самостоятельно заполнен лист самооценки SAQ.
3) самооценка (SAQ– Self Assessment Questionnaire) организации – осуществляется самостоятельно, не требуется сбор свидетельств.
Выбор способа подтверждения соответствия требованиям стандарта PCI DSS зависит от типа организации и количества обрабатываемых транзакций в год (Существует 4 уровня сертификатов PCI DSS).