Захист системи електронних платежів

Дізнайтеся про програму захисту даних сайту Mastercard та PCI

Разом з колегами по галузі, у 2006 році компанія Mastercard розробила стандарти безпеки даних індустрії платіжних карток (PCI DSS). Щоб допомогти еквайрам, торговцям і постачальникам послуг дотримуватися цих суворих стандартів, Mastercard також пропонує програму захисту даних сайту (SDP).

Програма SDP на основі PCI DSS містить детальну інформацію про безпеку даних і вимоги до перевірки відповідності, необхідні для захисту зібраних і переданих даних із платіжного рахунку Mastercard.

PCI DSS створена для виявлення слабких сторін у захисті безпеки, функціонуванні та конфігурації веб-сайту. Дотримання PCI DSS і суміжних з SDP програм допомагає торговцям, постачальникам послуг і емітентам захистити себе від порушень безпеки, укріпити довіру клієнтів, а також зберегти цілісність платіжної системи.

Дізнайтеся більше про стандарти безпеки PCI

Стандарти безпеки даних індустрії платіжних карток (PCI DSS)

Серед більш ніж 250 окремих вимог PCI DSS можна класифікувати й виділити 6 цілей і 12 основних вимог.

6 цілей, 12 вимог

Цілі Вимоги PCI DSS

Побудуйте та підтримуйте мережу безпеки

1: Встановіть та забезпечте функціонування системи обмеження доступу, щоб захистити дані держателя картки.
2: Не використовуйте встановлені виробником системні паролі та інші параметри безпеки.
Захистіть дані клієнтів 3: Захистіть зібрані дані про держателів карток.
4: Зашифруйте передачу даних про держателів карток через відкриті, загальнодоступні мережі.
Підтримуйте роботу програми виявлення слабких сторін 5: Використовуйте й регулярно оновлюйте антивірусне програмне забезпечення.
6: Розробіть та підтримуйте функціонування систем безпеки й додатків.
Застосуйте міри суворого контролю захисту 7: Обмежте доступ до даних держателів карток службовою необхідністю.
8: Призначте унікальний ID кожній особі, яка має доступ до комп'ютера.
9: Обмежте фізичний доступ до даних про держателів карток.
Регулярно проводьте моніторинг і тестування мереж 10: Відстежуйте будь-який доступ до мережевих ресурсів і даних про власників карток.
11: Регулярно тестуйте системи безпеки.
Впровадьте політику безпеки інформації 12: Підтримуйте політику інформаційної безпеки.

 

Платіжний додаток системи безпеки даних (PA-DSS)

Платіжний додаток системи безпеки даних (PA-DSS) створений для розробників та інтеграторів програмного забезпечення платіжних додатків, що зберігають, обробляють або передають дані про держателів карток у рамках авторизації чи налаштування, коли ці програми продаються, розповсюджуються чи права на них передаються третім особам.

PA-DSS вимагає від постачальників платіжних додатків третіх сторін забезпечення належного контролю безпеки даних держателів карток. Багато з елементів управління в рамках PA-DSS призначені спеціально для усунення слабких сторін, які стали основною причиною втрат даних по кредитних картках.

Мандат Mastercard чинний на 1 липня, 2012

З 1 липня 2012 року Mastercard переглянув стандарти програми Mastercard SDP, за якими всі торговці та постачальники послуг можуть використовувати платіжні програми третіх сторін, тільки якщо ті сумісні з PCI PA-DSS. Сумісність PCI PA-DSS з програмами третіх сторін визначена Програмною інструкцією PCI PA-DSS. Крім того, Mastercard створить нові вимоги до перевірки відповідності для торговців 1, 2, 3 рівнів, а також постачальників послуг 1 і 2 рівнів.

Мандат Mastercard стандартів PA-DSS допоможе глобальному впровадженню та дотриманню PCI DSS всіх зацікавлених сторін у рамках платіжної екосистеми.