Какие требования входят в стандарт PCI DSS?

Все требования стандарта можно поделить на несколько групп: Создание и поддержка защищенной сети и системЗащита данных держателей картВедение программы по управлению уязвимостямиВнедрение строгих мер контроля доступаРегулярный мониторинг и тестирование сетиПоддержание политики информационной безопасности

PCI DSS хостинг с сертификацией в Казахстане - узнать цену хостинга со стандартом pci dss

Безопасность данных по международному стандарту

PCI DSS (Payment Card Industry Data Security Standard) — это стандарт безопасности данных в платежной индустрии, разработанный международными платежными системами. Он направлен на защиту данных платежных карт и обеспечение технологических решений для снижения риска кражи информации.

Каждая организация, взаимодействующая с платежными данными, должна обеспечить высокий уровень их безопасности, который зафиксирован в стандарте PCI DSS. Самостоятельно добиться надлежащего уровня защиты ИТ-инфраструктуры — сложная задача, требующая солидных инвестиций и экспертизы. Сократить расходы и трудозатраты поможет аренда соответствующей инфраструктуры. Аренда PCI DSS хостинга позволяет компаниям в Казахстане защититься от штрафов, напрямую работать с финансовыми учреждениями через платежные интерфейсы и сохранить платежные данные клиентов в безопасности.

Преимущества хостинга PCI DSS от ИТ-ГРАД

Аренда сертифицированной ИТ-инфраструктуры позволяет делегировать облачному провайдеру большую часть задач по организации защищенной инфраструктуры без забот о закупке оборудования в ЦОД и прохождения сертификации:

Возьмем на себя выполнение 7 из 12 разделов стандарта PCI DSS

Закроем задачи, связанные с физической и сетевой безопасностью, разграничением доступа, криптографической защитой данных и непрерывным мониторингом. Вам не придется самостоятельно проектировать защищенный периметр сети, настраивать межсетевые экраны или внедрять системы обнаружения вторжений

Поможем пройти процедуры сертификации и соблюдения требований

Сопровождаем вас на каждом этапе: от первичного комплаенса до ежегодных переаттестаций. Поможем вовремя внедрять апдейты безопасности, чтобы к моменту проверки инфраструктура гарантированно соответствовала актуальным стандартам.

Получить консультацию

Варианты реализации

PCI DSS Basic

Выполнение базовых требований стандарта PCI DSS. Подходит для организаций, обрабатывающих небольшое количество транзакций.

Готовый к использованию виртуальный дата-центр под ключ, соответствующий требованиям отраслевого стандарта PCI DSS
Частичная реализация межсетевого экранирования и контроля доступа к сетевым ресурсам
На стороне клиента — безопасное конфигурирование и хранение ДДК, защита от вредоносного ПО, шифрование БД, политика ИБ
Зоны ответственности сторон фиксируются документально в соответствующей матрице

PCI DSS Advanced

Продвинутый формат услуги для клиентов, которым необходим повышенный уровень защиты инфраструктуры.

Видеонаблюдение и высокий уровень контроля доступа к ИС и инфраструктуре
Внедрение фаерволов и защиты от несанкционированного доступа любой сложности
Внедрение WAF
Регулярное резервное копирование дисков ВМ
Защита от вредоносного кода и ПО
Организация доступа по VPN с двухфакторной аутентификацией

Зона частичной ответственности Клиента/ИТ-ГРАД

Зона ответственности Клиента

Зона ответственности ИТ-ГРАД

Basic (Виртуальный дата-центр или виртуальные серверы с PCI DSS)

Advanced (PCI DSS compliant инфраструктура)

1 — межсетевое экранирование

2 — безопасное конфигурирование

3 — безопасное хранение ДДК

4 — шифрование ДДК при передаче

5 — защита от вредоносного ПО

6 — безопасная разработка систем и приложений

7 — ограничение доступа к ДДК

8 — управление доступом к системным компонентам

9 — ограничение физического доступа

10 — контроль доступа к сетевым ресурсам и ДДК

11 — тестирование систем и процессов ИБ

12 — политика ИБ

Наши клиенты

Частые вопросы

В этом разделе мы собрали актуальные ответы на частые вопросы об услуге. Если вы не нашли нужный ответ, отправьте вопрос через форму обратной связи, и наши специалисты ответят вам.

Хостинг PCI DSS нужен организациям, которые используют облачную инфраструктуру для хранения и обработки данных платежных карт. Хостинг помогает закрыть часть требований стандарта PCI DSS и снять вопросы, связанные с физическим доступом к серверам, видеонаблюдением и размещением межсетевых экранов.

Все требования стандарта можно поделить на несколько групп:

Создание и поддержка защищенной сети и систем
Защита данных держателей карт
Ведение программы по управлению уязвимостями
Внедрение строгих мер контроля доступа
Регулярный мониторинг и тестирование сети
Поддержание политики информационной безопасности

Частота проведения аудитов зависит от типа организации и объема обрабатываемых платежных данных. Обычно рекомендуется проводить аудиты не реже одного раза в год или после значительных изменений в инфраструктуре.

За несоответствие стандарту PCI DSS предусмотрены штрафы со стороны платежных систем. Размеры штрафов зависят от типа компании, объема транзакций и повторяемости нарушений. Также несоответствие стандарту может рассматриваться как нарушение законов о защите персональных данных, что влечет за собой применение соответствующих законодательных актов.