Както споменахме в началото, Стандарта се основава на шест основни цели, разширени в дванадесет изисквания и подробно детайлизирани в над двеста под-изисквания.

Ето основните изисквания на PCI DSS:

  1. Изграждане и поддържане на сигурна мрежа
    • Инсталиране и поддържане на firewall настройки за защита на информацията
    • Промяна на настройките по сигурността, предоставени от производителя
  2. Защита на информацията на банковите карти

• Защита на записаната информацията от банковате карти
• Криптиране на информацията от банковите карти при пренасяне през публични интернет мрежи

  1. Поддържане на програма по управление на уязвимости
    • Ползване и редовно ъпдейтване на антивирусна програма
    • Изграждане и поддържане на сигурни системи и приложения
  2. Прилагане на строги мерки по контрола на достъпа
    • Ограничаване на достъпа само до необходимата информация
    • Прикачване на уникален ID номер за всяко лице с компютърен достъп
    • Ограничаване на физическия достъп до информацията от банковите карти
  3. Постоянен мониторинг и тестване на мрежите
    • Проследяване и мониторинг на целия достъп до мрежовите ресурси
    • Редовно тестване сигурността на системите и процесите
  4. Поддържане на политика за сигурността на информацията
    • Изграждане и поддържане на политика, която разяснява сигурността на информацията

Когато говорим за изискванията към доставчиците на споделен хостинг ще имате възможност да се запознаете с детайлният подход на Стандарта в под-изискванията.

PCI инструменти

Споменахме, че петте банки основателки на съвета са постигнали съгласие и са приели общи инструменти, чрез които да се осъществи на практика прилагането на стандарта и доказването на съвместимост.

Ето и кратко описание на тези инструменти:

Qualified Security Assessor (QSA) - лицензиран консултант

Лицензираният консултант извършва всички необходими процедури по проверка и удостоверяване на съвместимост на системата с PCI стандарта.

На сайта на PCI съвета е публикуван списък с лицензираните компании (QSAC).

Approved Scanning Vendor (ASV) - лицензирана компания за сканиране

Външно мрежово сканиране се извършва чрез инструменти за достъп, създадени и използвани от ASV. Сканирането се извършва през определени периоди и докладите от него се изискват при издаване или подновяване на сертификата за PCI съвместимост.

На сайта на PCI съвета е публикуван списък с лицензираните ASV компании.

Self-Assessment Questionnaire (SAQ) - въпросник за самооценка

За по- голямата част от търговците SAQ е инструмента, който удостоверява PCI съвместимост. За да се улесни процеса на удостоверяване са създадени пет вида SAQ в зависимост от начините, по които се приемат плащанията.

На сайта на PCI съвета са публикувани всички въпросници SAQ.

Report On Compliance (ROC) - доклад за PCI съвместимост

Изпраща се заедно с SAQ докладите на банката притежател на правата на картата или на търговската банка.

PCI нива според годишен брой транзакции

В зависимост от броя на транзакциите за период от една година, PCI стандарта различава и дефинира начина на доказване на съвместимост като за компаниите с най-голям брой транзакции изискванията съответно са най-строги.

Ниво 1: Повече от 6 милиона транзакции годишно.

Изискване: Годишна оценка на сигурността от QSA и сканиране на мрежата на три месеца.

Ниво 2: От 1 до 6 милиона транзакции годишно.

Изискване: Годишна самооценка SAQ на сигурността на информацията и сканиране на мрежата на три месеца.

Ниво 3: 20,000 до 1 милион e-commerce транзакции годишно. Изискване: Годишна самооценка SAQ на сигурността и сканиране на мрежата на три месеца.

Ниво 4: По-малко от 20,000 e-commerce транзакции годишно и до 1 милион Visa транзакции годишно.

Изискване: Самооценка SAQ на сигурността и сканиране на мрежата веднъж в годината.

В следващата и последна от поредицата статии ще говорим за изискванията на PCI стандарта към компаниите, предлагащи споделен хостинг.