PCI (Payment Card Industry) включва всички видове банкови карти, използвани за разплащане – кредитни, дебитни, предплатени, елетронни пари (e-purse), карти за разплащане през ATM и POS терминали както и всеки бизнес, свързан по някакъв начин с тази индустрия – разработчици на софтуер за разплащен, производители на терминални устройства или доставчици на услуги по веригата на електронното банкиране.

Самият термин в повечето случаи се употребява за да посочи свързаните с тази индустрия съвет PCI SSC (Security Standards Council) и стандарт PCI DSS (Data Security Standard).

Създаването на това единно управленско тяло се случва през септември 2006г. когато пет водещи световни банки и притежатели на правата на електронни карти (global payment brands) American Express, Discover Financial Services, JCB, MasterCard Worldwide and Visa International решават да унифицират собствените си програми за съвместимост и сигурност.

PCI SSC (който в тези статии ние ще наричаме Съвета) формира документ от стандарти по сигурността PCI DSS (респ. Стандарта), който се състои от шест основни цели, разделени в дванадесет изисквания, детайлно разяснени в над двеста конкретни под-изисквания.
Дори и след създаването на Съвета и приемането на Стандарта, петте банки основатели запазват своята самостоятелност като покриването на изискванията на стандарта и прилагането на санкции при неизпълнението им практически се задважва от съответният притежател на права (payment brand).

От създаването си досега Стандарта PCI DSS e преминал през няколко версии като непрекъснато се обновява за да може да запази своята актуалност и да отговори на динамиката на IT процесите.

Ако вашият електронен (или физически) магазин ползва PayPal или Google Chekcout за процесор, който обслужва интернет транзакциите, вие няма нужда да покривате PCI изисквания.

Но как може да сте сигурни, че терминалното устройство или софтуерното приложение, което ползвате покрива изискванията на Стандарта и не записва и препредава тайно от вас информацията от банковите карти на вашите клиенти на трети лица?

За целта основният Стандарт PCI DSS съдържа два конкретни под-стандарта с изисквания към разработчиците на софтуерни приложения (PA-DSS) и производителите на терминални PIN устройства (PTS).

payment-card-standarts

PA-DSS (Payment Application Data Security Standard) за разработчици

PA-DSS включва приложенията за разплащане, интегратори и доставчици на услуги. PA-DSS изброява специфични технически изисквания към софтуерните приложения за разплащане както и определя процедури и шаблони, по които QSA ( за които ще стане въпрос в следващите статии) валидират и документират издаването на лиценз за съвместимост.

Търговците трябва да ползват само лицензирани от PCI съвета софтуерни приложения.

Списък на лицензираните разработчици на софтуерни приложения за разплащане може да намерите на този адрес:

https://www.pcisecuritystandards.org/approvedcompaniesproviders/validatedpaymentapplications.php?agree=true

PIN Transaction Security (PTS) – стандарт за производители

PTS стандарта се прилага към производителите на устройства, в които се въвежда персонален идентификационен код (PIN) при разплащани с банкови карти. Търговците и доставчиците на услуги трябва да ползват само лицензирани терминални устройства.

Списък на лицензираните PIN устройства може да намерите на този адрес:

https://www.pcisecuritystandards.org/approvedcompaniesproviders/approvedpintransaction_security.php

В следващата статия ще разгледаме кои са основните играчи в процеса на електронно банкиране и какви са инструментите на Съвета за покриване изискванията за PCI съвместимост.