Перейти до основного вмісту

PCI DSS комплаєнс

PCI DSS (Payment Card Industry Data Security Standard) — це загальний стандарт безпеки в індустрії платіжних карток. Перевірку на відповідність цьому сертифікату мають проходити усі організації, які зберігають, обробляють та передають дані платіжних карток або іншу конфіденційну інформацію, пов'язану з автентифікацією клієнтів/платежів.

Отже, якщо ви збираєтеся працювати за direct-інтеграцією, тобто використовувати свою платіжну сторінку і самостійно збирати карткові дані платників, у вас має бути сертифікат PCI DSS Level 1 (незалежно від кількості транзакцій).

Документи для підтвердження відповідності вимогам стандарту:

  • Атестат відповідності (Attestation of Compliance, AoC) для Level 1, проведений не раніше, ніж 9 місяців тому (має проводитись щорічно). На підставі цього документи визначається:

    • На якому рівні було оцінено стандарти безпеки при роботі з платіжними даними (самооцінка чи офіційне оцінювання Level 1 із підтвердженням третьої сторони).
    • Які конкретні вимоги та підвимоги засвідчуються як такі, що відповідають стандарту (або не відповідають).
    • Дата, коли було проведено останню оцінку.

  • Звіт сканування вразливостей (ASV), проведений не раніше, ніж 90 днів тому. ASV сканування – це унікальна та досконала автоматизована перевірка всіх точок підключення інформаційної інфраструктури до інтернету на наявні вразливості. Має проводитись щоквартально.

  • Сертифікат (опційно).

Зазначені документи повинні бути передані нашому відділу комплаєнсу через Financial Line до моменту активації робочого проєкту та початку прийому платежів.