Приведение в соответствие требованиям
PCI DSS
Платежные системы, входящие в Совет PCI SSC, разработали стандарт PCI DSS, целью которого является как защита финансовых операций, так и данных платежных карт. Стандарт PCI DSS состоит из 12 требований-блоков, которые подразумевают реализацию большого количества технических мер, в свою очередь, требующих наличия средств защиты, а также ряд организационных мер. В частности, одним из требований является тестирование на проникновение.
Требования стандарта применимы ко многим типам организаций, работающих с данными платежных карт, а также сервис-провайдеров, оказывающих услуги вышеуказанным компаниям.
У каждой платежной системы (включая НСПК, которая также является членом PCI SSC) есть своя программа сертификации, согласно которой осуществляются классификация и категорирование организаций и определяется процедура ежегодного подтверждения соответствия. В зависимости от видов деятельности, количества транзакций по картам и/или хранимых данных платежных карт, устанавливается форма отчетности – сертификационный аудит или в формате самоопросника (SAQ). Сертификационные аудиты могут проводить организации, аккредитованные как PCI QSA.