Обзор индустрии платежных карт. Ключевые участники платежного процесса. Потоки данных между участниками. Совет PCI SSC. Стандарты PCI DSS и PCI PA-DSS. Уровни и правила подтверждения соответствия.

1. © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Секция 1
Обзор стандарта PCI DSS

2. 1-2 Индустрия платежных карт
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Банк-эквайер – банк, предоставляющий услуги эквайринга.
Банк-эмитент – банк, выпустивший платежную карту.
Международная платежная система (МПС) – сообщество банков, установившее правила
обращения платежных карт (Visa, MasterCard, American Express, Discovery, JCB).
Поставщик услуг – организация, оказывающая услуги в индустрии платежных карт, связанные с
обработкой платежных транзакций. Примерами поставщиков услуг являются банки-эмитенты,
банки-эквайеры, платежные шлюзы, хостинг-провайдеры.
Торгово-сервисное предприятие (ТСП) – организация, принимающая платежные карты к оплате
за товары и услуги.
Эквайринг – процесс приема платежных карт к оплате за товары и услуги. Различают
банкоматный (Automated Teller Machine, ATM) эквайринг – выдачу наличных по платежной карте
с использованием банкомата, торговый (Point of Sale, POS) эквайринг – прием платежных карт к
оплате за товары и услуги торгово-сервисных предприятий с использованием POS-терминалов и
Интернет-эквайринг – прием платежных карт к оплате за товары и услуги с использованием
средств электронной коммерции.
Эмиссия – процесс выпуска (персонализации) платежных карт.

3. 1-3 Эмиссия платежных карт МПС Visa и MasterCard
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

4. 1-4 Две стадии эквайринга по картам МПС Visa и MasterCard
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

5. 1-5 Авторизация – шаг 1
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

6. 1-6 Авторизация – шаг 2
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

7. 1-7 Авторизация – шаг 3
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

8. 1-8 Авторизация – шаг 4
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

9. 1-9 Авторизация – шаг 5
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

10. 1-10 Авторизация – шаг 6
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

11. 1-11 Авторизация – шаг 7
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

12. 1-12 Авторизация – шаг 8
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

13. 1-13 Клиринг и взаиморасчет – шаг 1
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

14. 1-14 Клиринг и взаиморасчет – шаг 2
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

15. 1-15 Клиринг и взаиморасчет – шаг 3
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

16. 1-16 Клиринг и взаиморасчет – шаг 4
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

17. 1-17 Клиринг и взаиморасчет – шаг 5
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

18. 1-18 Клиринг и взаиморасчет – шаг 6
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

19. 1-19 Клиринг и взаиморасчет – шаг 7
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

20. 1-20 Банки-принципалы и аффилированные банки
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

21. 1-21 Платежные шлюзы
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

22. 1-22 Поставщики услуг и торгово-сервисные предприятия
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

23. 1-23 Распределение ответственности за безопасность данных
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

24. 1-24 Стандарты безопасности данных индустрии платежных карт
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам
безопасности индустрии платежных карт – международный регулирующий орган в сфере
безопасности обращения платежных карт, был создан коллективным решением пяти
международными платежными системами – Visa, MasterCard, American Express, JCB и Discover.
Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных
индустрии платежных карт PCI DSS, PCI PA-DSS и PCI PTS.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных
индустрии платежных карт – документ, определяющий требования к поставщикам услуг и
торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт.
Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт
безопасности данных в платежных приложениях индустрии платежных карт – документ,
определяющий требования к приложениям, обрабатывающим данные о держателях карт и
процессу их разработки.
Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих
документов, содержащих требования к устройствам, обрабатывающим персональный
идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие
PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM).

25. 1-25 Стандарт PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Объект применения: организация, в информационной инфраструктуре которой хранятся,
обрабатываются или передаются данные о держателях карт.
Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN)
какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa,
MasterCard, American Express, JCB и Discover).
Критерий соответствия: выполнение 100% применимых к организации требований стандарта.
Способ подтверждения соответствия: определяется международной платежной системой и
банком-эквайером отдельно для разных типов организаций.
Регулярность подтверждения соответствия: ежегодно.

26. 1-26 Стандарт PCI PA-DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Объект применения: приложение, которое хранит, обрабатывает или передает данные о
держателях карт (платежное приложение), а также процесс его разработки.
Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN)
какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa,
MasterCard, American Express, JCB и Discover) в процессе авторизации транзакции или выполнения
взаиморасчетов. Не применим к приложениям, разработанным самостоятельно для собственных
нужд, а также к приложениям, разработанным на заказ для одного заказчика.
Критерий соответствия: выполнение 100% применимых к приложению требований стандарта.
Способ подтверждения соответствия: проверка безопасности приложения аудиторской
организацией (PA-QSA), сертифицированной Советом PCI SSC.
Регулярность подтверждения соответствия: ежегодно, способ зависит от значимости обновлений
приложения с точки зрения безопасности обработки карточных данных.

27. 1-27 Структура стандарта PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Стандарт PCI DSS актуальной на 2012 год версии 2.0 содержит в себе 288 проверочных процедур,
распределенных по двенадцати разделам:
1. Защита вычислительной сети.
2. Конфигурация компонентов информационной инфраструктуры.
3. Защита хранимых данных о держателях карт.
4. Защита передаваемых данных о держателях карт.
5. Антивирусная защита информационной инфраструктуры.
6. Разработка и поддержка информационных систем.
7. Управление доступом к данным о держателях карт.
8. Механизмы аутентификации.
9. Физическая защита информационной инфраструктуры.
10. Протоколирование событий и действий.
11. Контроль защищенности информационной инфраструктуры.
12. Управление информационной безопасностью.

28. 1-28 Способы подтверждения соответствия стандарту PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ)
Выполняется внешней
аудиторской организацией
(Qualified Security Assessor,
QSA), сертифицированной
Советом PCI SSC.
Выполняется внутренним
прошедшим обучение и
сертифицированным по
программе Совета PCI SSC
аудитором (Internal Security
Assessor, ISA).
Выполняется самостоятельно
путем заполнения листа
самооценки (Self-Assessment
Questionnaire, SAQ).
В ходе проверки QSA-аудиторы
собирают свидетельства
выполнения требований
стандарта и сохраняют их в
течение трех лет.
В ходе проверки ISA-аудиторы
собирают свидетельства
выполнения требований
стандарта и сохраняют их в
течение трех лет.
Сбор свидетельств выполнения
требований стандарта не
требуется.
По результатам QSA
подготавливает Отчет о
Соответствии (Report on
Compliance, ROC).
По результатам ISA
подготавливает Отчет о
Соответствии (Report on
Compliance, ROC).
Отчетным документом
является самостоятельно
заполненный лист самооценки
SAQ.

29. 1-29 Обязательные независимые проверки защищенности
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Проверка Описание
Требование 11.2 PCI DSS
Внешнее сканирование
уязвимостей компонентов
информационной
инфраструктуры (ASV)
Выполняется ежеквартально поставщиком услуг сканирования
(Approved Scanning Vendor, ASV), сертифицированным Советом
PCI SSC.
Сканированию подлежат все внешние IP-интерфейсы
информационной инфраструктуры в рамках области
применимости требований стандарта PCI DSS.
Требование 11.3 PCI DSS
Внешнее и внутреннее
тестирование на проникновение
(pentest)
Выполняется ежегодно независимым поставщиком услуг
тестирования на проникновение. Тестирование должно
выполняться на уровне сети и на уровне приложений, как
извне, так и изнутри области применимости требований
стандарта PCI DSS.
Может выполняться собственным независимым выделенным
подразделением или сотрудником, обладающим
необходимой компетенцией и опытом.

30. 1-30 Контроль защищенности внешних веб-приложений
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Проверка Описание
Требование 6.6 PCI DSS
Контроль защищенности
внешних (публичных) веб-
приложений
Существует три варианта выполнения требования:
• сканирование уязвимостей приложения при помощи
специализированного сканера безопасности веб-
приложений;
• аудит защищенности веб-приложений вручную
экспертами, специализирующимися на безопасности веб-
приложений. Может выполняться собственным
независимым выделенным подразделением или
сотрудником, обладающим необходимой компетенцией и
опытом;
• установка перед веб-приложением межсетевого экрана
прикладного уровня (Web Application Firewall, WAF).

31. 1-31 Уровни и требования международных платежных систем
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Международные платежные системы определяют требования к способу подтверждения
соответствия стандарту PCI DSS в зависимости от типа организации и количества обрабатываемых
ею транзакций по платежным картам в год.
Классификация определяет два типа организаций, это торгово-сервисные предприятия
(мерчанты) и поставщики услуг.
В зависимости от количества обрабатываемых транзакций торгово-сервисные предприятия
делятся на уровни от первого (высший) до четвертого (низший), а поставщики услуг – от первого
(высший) до второго (низший). Каждая международная платежная система имеет собственную
классификацию уровней в зависимости от количества обрабатываемых транзакций или номеров
платежных карт.
Банк-эквайер может переопределить уровень подключенного к нему торгово-сервисного
предприятия или используемого им поставщика услуг в соответствии с собственной оценкой
рисков. Уровень, назначенный организации банком-эквайером, имеет приоритет перед уровнем,
определенным в соответствии с классификацией международной платежной системы.

32. 1-32 Классификация Visa, торгово-сервисные предприятия
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Уровень Критерии
Подтверждение
соответствия PCI DSS
1
• обработка более 6 млн. транзакций в год, или
• решение Visa о назначении уровня 1
• QSA или ISA ежегодно
• ASV ежеквартально
2
• обработка от 1 до 6 млн. транзакций в год • SAQ ежегодно
• ASV ежеквартально
3
• обработка от 20 тыс. до 1 млн. транзакций в год с
применением электронной коммерции
• SAQ ежегодно
• ASV ежеквартально
4
• обработка до 20 тыс. транзакций в год с применением
электронной коммерции, или до 1 млн. транзакций в год
иным способом
• SAQ ежегодно
(рекомендовано)
• ASV ежеквартально
(если применимо)

33. 1-33 Классификация MasterCard, торгово-сервисные предприятия
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Уровень Критерии
Подтверждение
соответствия PCI DSS
1
• обработка более 6 млн. транзакций в год, или
• решение MasterCard о назначении уровня 1, или
• уровень 1 согласно критериям Visa, или
• компрометация карточных данных
• QSA или ISA ежегодно
• ASV ежеквартально
2
• обработка от 1 до 6 млн. транзакций в год, или
• уровень 2 согласно критериям Visa
• QSA или ISA ежегодно
• ASV ежеквартально
3
• обработка от 20 тыс. до 1 млн. транзакций в год с
применением электронной коммерции, или
• уровень 3 согласно критериям Visa
• SAQ ежегодно
• ASV ежеквартально
4
• все остальные • SAQ ежегодно
• ASV ежеквартально

34. 1-34 Классификация Visa, поставщики услуг
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Уровень Критерии
Подтверждение
соответствия PCI DSS
1
• обработка более 300 тыс. транзакций в год*, или
• процессинг, напрямую подключенный к VisaNet (через
VisaNet Extended Access Server, VEAS), (VNP),независимо
от количества транзакций
• QSA ежегодно
• ASV ежеквартально
2
• обработка менее 300 тыс. транзакций в год • SAQ ежегодно
• ASV ежеквартально
* - суммарное количество транзакций по картам Visa или суммарное количество карт Visa, номера
которых обрабатываются поставщиком услуг, в зависимости от вида услуг.

35. 1-35 Классификация MasterCard, поставщики услуг
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Уровень Критерии
Подтверждение
соответствия PCI DSS
1
• обработка более 300 тыс. транзакций в год*, или
• внешний процессинг (Third Party Processor, TPP),
независимо от количества транзакций
• QSA ежегодно
• ASV ежеквартально
2
• обработка менее 300 тыс. транзакций в год • SAQ ежегодно
• ASV ежеквартально
* - суммарное количество транзакций по картам MasterCard или суммарное количество карт
MasterCard, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг.