Индид Облако
Продукты
Indeed PAM
Контроль доступа
привилегированных пользователей

Indeed ITDR
Комплексная защита
инфраструктуры айдентити

Indeed AM
Управление доступом к цифровым активам компании с возможностью реализации многофакторной аутентификации (MFA)

Indeed CM
Управляет жизненным циклом ключевых носителей и цифровых сертификатов, ведет журнал СКЗИ, автоматизирует рутинные задачи

Octopus IdM
Комплексное управление идентификацией и доступом

BearPass
Безопасное хранение и централизованное управление доступом к корпоративным паролям и другим секретам

Индид Облако
Облачные сервисы для управления доступом и комплексной защиты бизнеса
Защищенный удаленный доступ к корпоративным ресурсам
Единый доступ к корпоративным веб-приложениям
Аутентификация по бесконтактным картам
Единая аутентификация для корпоративных приложений
Защита паролей привилегированных учетных записей
Контролируемый доступ подрядчиков
Запись действий и расследование инцидентов
Двухфакторная аутентификация по смарт-картам

Удаленный доступ администраторов к корпоративным ресурсам
Миграция с устаревших решений для управления PKI
Централизованное управление аутентификацией
Электронная подпись, шифрование и аутентификация без смарт-карт
Самообслуживание при работе с цифровыми сертификатами
Централизованное управление инфраструктурой открытых ключей
ГОСТ 57580.1-2017
Национальный стандарт по защите информации финансовых организаций

ФСТЭК №239
Обеспечение безопасности ОКИИ

ФСТЭК №31
Обеспечение безопасности АСУ ТП

ФСТЭК №21
Обеспечение безопасности персональных данных

ФСТЭК №17
Обеспечение безопасности ГИС

PCI DSS
Стандарт безопасности данных индустрии платежных карт
Финансы

Телеком

Промышленность

Ритейл

Государственный
сектор

Транспорт
и логистика

Здравоохранение
Запишитесь на демонстрацию любого продукта
Корпоративный email
Выберите продукт
Даю согласие на обработку моих персональных данных
Примеры внедрения
Партнеры
О компании
- Об Индид
  Всё самое важное о нашей истории, команде и проектах — в этом разделе.
- Контакты
  Напишите нам, и наши специалисты ответят вам в течение дня.
- Социальная активность
  Образовательные инициативы для школьников, студентов и детей наших сотрудников.
- Карьера
  Ознакомьтесь с открытыми вакансиями и присоединяйтесь к нашей команде
- Технологические интеграции
  Сотрудничаем с крупными технологическими компаниями
- Стартап студия
  Помогаем стартапам в сфере кибербезопасности расти и становиться лидерами рынка
Изучите передовые технологии защиты айдентити и управления доступом
Скачать буклет
Поддержка
Блог

Главная
Новости
Выполнение требований PCI DSS V.3.2.1 по защите данных держателей платежных карт

14.08.2020

Статьи

Выполнение требований PCI DSS V.3.2.1 по защите данных держателей платежных карт

На сегодняшний день тяжело представить себе жизнь без платежных карт. Они распространены повсеместно.

Однако в процессе оплаты необходимо передать сервису проведения платежей (включая интернет-сервисы) личные данные, позволяющие осуществить списание средств для оплаты покупки. В случае компрометации сервиса будут прямые потери финансовых средств покупателей.

Вряд ли кто-то из покупателей захочет, чтобы его финансовые средства ушли в неизвестном направлении, поэтому для защиты подобных сервисов необходимо прибегать к продуманным и многократно проверенным решениям.

PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Другими словами, это международные нормативно-правовые акты со списком требований, которым должен удовлетворять сервис, если он как-то управляет такими данными, как номер карты, срок ее действия и CVV-код (в терминологии PCI DSS — данные держателей карт).

Разработкой данного документа занимается Совет по стандартам безопасности индустрии платежных карт, образованный пятью крупнейшими платежными системами (Visa, Master Card, American Express, JCB и Discover).

Организации, которые работают с данными держателей (банк-эмитент, банк-эквайер, поставщик услуг, торгово-сервисное предприятия) обязаны выполнять требования безопасности той или иной платежной системы. В то же время часть этих требований стандартизированы и объединены в стандарт PCI DSS.

Выполнение требований PCI DSS является довольно сложной задачей, связанной не только с построением процессов защиты информации и организационными мерами, но также и с приобретением и внедрением специализированных средств защиты информации. PCI DSS содержит достаточно жесткие меры по отношению к защите данных держателей карт, которые выполнить значительно сложнее, чем меры иных стандартов и нормативно-правовых актов по защите информации.

Однако одного выполнения мер недостаточно. Необходимо пройти сертификацию на соответствие PCI DSS, чем занимаются сторонние аудиторы, аккредитованные упомянутым Советом.

После прохождения сертификации и получения сертификата организации обязаны поддерживать систему защиты в актуальном состоянии, а также следить за выпуском новых версий PCI DSS и требований платежных систем.

В случае неисполнения требований, либо в случае инцидента, после которого клиенты потеряли деньги, компанию ждут большие штрафы, исчисляемые десятками и сотнями тысяч долларов, не говоря уже о серьезных репутационных потерях для организации.

Как показывает практика, корректное и грамотное выполнение требований PCI DSS позволяет снизить до минимума вероятность возникновения инцидента, связанного с утечкой данных держателей карт или с потерей денег.

В случае невозможности исполнения требований стандарта — можно воспользоваться услугами соответствующего поставщика, сертифицированного на соответствие PCI DSS, что, правда, налагает определенные ограничения, так как поставщики таких сервисов тоже предъявляют повышенные требования к своим клиентам.

Программные комплексы компании «Индид» помогают реализовать основные задачи технического характера в своей области функционирования/развертывания в группах требований (все, кроме управления полномочиями в целевых сервисах):

Требования 7. Ограничивать доступ к ДДК в соответствии со служебной необходимостью;
Требования 8. Идентифицировать и аутентифицировать доступ к системным компонентам.

Дополнительно ПО компании «Индид» реализует некоторую часть технических задач в следующих группах требований в своей области функционирования/развертывания:

Требования 1. Установить и поддерживать конфигурацию межсетевых экранов для защиты ДДК;
Требования 2. Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем;
Требования 10. Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и ДДК;
Требования A1. Дополнительные требования PCI DSS для поставщиков услуг хостинга с общей средой.

Таблица: «Оценка степени выполнения мер требований к системе защиты информации, приведенных в PCI DSS V.3.2.1».

Напишите нам в чат, чтобы получить детальную таблицу с оценкой выполнения требований PCI DSS v.3.2.1 при использовании программных комплексов Компании Индид в вашей компании.

Смотрите также:

Чтобы заказать демонстрацию Indeed Privileged Access Manager для вашей компании, напишите на почту sales@indeed-company.ru

Читайте еще

Записи вебинаров
Запись эфира: Indeed ITDR — событие года в области Identity Security
25 ноября состоялся прямой эфир, посвященный единственному на российском рынке решению для комплексной защиты инфраструктуры айдентити — Indeed ITDR 2.0....
27.11.2025
Indeed ITDR
Индид представила первую публичную версию Indeed ITDR
Компания «Индид», российский разработчик решений в области защиты айдентити, объявила о выпуске Indeed Identity Threat Detection and Response (ITDR) 2.0...
17.11.2025
Статьи
Критерии оценки Single Sign-On решений
При выборе Single Sign-On (SSO) решения, приходится учитывать множество факторов, от которых зависит успешность проекта. Новый продукт необходимо встроить в существующую...
16.03.2011