PCI DSS
Международный стандарт безопасности данных платёжных карт, разработанный Visa, Mastercard, Amex, Discover и JCB. Обязателен для всех, кто хранит, обрабатывает или передаёт номера карт (PAN).
Что такое PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности, созданный в 2004 году советом PCI SSC (Visa, Mastercard, Amex, Discover, JCB). Обязателен для всех, кто касается карточных данных: магазинов, шлюзов, процессоров, эквайеров. Актуальная версия — 4.0.1, действует с апреля 2024 года.
12 требований группируются в шесть блоков: периметр (firewall, замена дефолтных паролей); данные (PAN — только в зашифрованном или усечённом виде; CVV не хранить совсем); передача (минимум TLS 1.2); доступ (MFA для всего доступа в CDE — новшество 4.0); мониторинг (логи 12 месяцев, ASV-сканирование, ежегодный пентест); политика ИБ. Несоответствие — штрафы от $5 000 до $100 000 в месяц. Уровень валидации (Level 1–4) зависит от объёма транзакций: Level 1 требует аудита внешним QSA, Level 2–4 — самооценки SAQ. ЦБ РФ в Положении 757-П отсылает к PCI DSS как базовому требованию для операторов платёжной инфраструктуры.
PCI DSS и QR-платежи через СБП
QR-эквайринг через СБП — межбанковский перевод, а не карточная CNP-операция: PAN в транзакции не передаётся. НСПК держит собственную аттестацию уровня Level 1, которая распространяется на участников системы. Это снимает с мерчанта большую часть требований PCI DSS при оплате через СБП.
Когда QR-код ведёт на платёжную страницу с вводом реквизитов карты, картина меняется — обязательны 3D Secure, TLS и сертифицированный шлюз. Подробнее о разнице сценариев — в разделе динамических QR-кодов.
Частые вопросы
Нужен ли PCI DSS интернет-магазину, принимающему оплату через Robokassa?
Нет, если магазин не касается PAN. Robokassa сертифицирована как Level 1 и берёт на себя защиту карточных данных. Магазин работает через редирект или iframe — PAN проходит мимо. Нужно только передавать заказ по HTTPS и не логировать карточные данные. Форма самооценки для такой интеграции — SAQ A.
CVV хранить нельзя — а почему сайты запоминают карту?
Запоминается токен, а не реальные данные. Шлюз заменяет PAN и CVV на случайный идентификатор, привязанный к конкретному мерчанту. Магазин хранит токен, шлюз — реальные данные в своей PCI DSS-аттестованной зоне. CVV не хранится нигде после авторизации — это прямой запрет требования 3.3 стандарта.
Чем PCI DSS 4.0 отличается от версии 3.2.1?
Главное изменение — MFA стала обязательной для всего доступа в CDE, а не только для удалённого. Добавлен «целевой подход»: организация может предложить альтернативный контроль с эквивалентным уровнем защиты. Расширены требования к безопасности браузерных скриптов. Введено 64 новых «лучших практики», часть стала обязательной с 2025 года.