Принимаете оплату картами? Храните данные клиентов? Разрабатываете платёжное приложение? Тогда вы обязаны соблюдать PCI DSS. Это не рекомендация, а прямое требование платёжных систем (Visa, Mastercard, МИР). И игнорирование может стоить миллионы.
В этой статье мы, команда AXIIOM, разберём: что такое PCI DSS простыми словами; 12 основных требований (без бюрократии); частые ошибки, из-за которых бизнес проваливает аудит; как подготовиться и сколько это стоит; и как наш опыт помогает клиентам проходить сертификацию без стресса.
PCI DSS (Payment Card Industry Data Security Standard) — это глобальный стандарт безопасности данных держателей карт. Его выпускает Совет по стандартам безопасности PCI (PCI SSC), созданный платёжными системами.
Кого касается: любую компанию, которая принимает, обрабатывает, хранит или передаёт данные банковских карт. Даже если вы интернет-магазин с одной онлайн-кассой, ресторан с терминалом, стартап с подпиской, маркетплейс или разработчик мобильного приложения с оплатой карт.
Что будет, если нарушить: штрафы от платёжных систем (от 5 000 до 100 000 долларов в месяц); повышенные комиссии для вашего эквайера; потеря возможности принимать карты (блокировка); утечка данных; репутационные потери и иски клиентов; в некоторых юрисдикциях — уголовная ответственность.
По данным Verizon, 80% компаний, пострадавших от утечки карточных данных, не были полностью PCI DSS-комплаентны. Сертификация — это не бумажка, а реальная защита.
Стандарт включает 12 основных требований, сгруппированных в 6 направлений. Мы перескажем их человеческим языком, без аудиторского жаргона.
Направление 1. Построение защищённой сети: установка и поддержка межсетевого экрана (firewall) — отделить сеть, где обрабатываются карты, от остальной сети; запрет на пароли и настройки по умолчанию.
Направление 2. Защита данных держателей карт: хранение номера карты (PAN) только в зашифрованном виде; CVV/CVC, PIN-блоки, полные данные трека — хранить запрещено категорически. Шифрование передачи данных по открытым сетям (TLS 1.2/1.3). Золотое правило: не храните ничего лишнего — используйте токенизацию.
Направление 3. Управление уязвимостями: антивирусное ПО на всех системах, которые касаются карточных данных; разработка безопасных приложений и своевременное обновление — все компоненты (ОС, CMS, библиотеки) обновлять в течение 30 дней после выхода патча.
Направление 4. Контроль доступа: доступ к данным — только по необходимости (принцип least privilege); уникальные ID и аутентификация для каждого пользователя; многофакторная аутентификация (MFA) для доступа к системам с карточными данными; физическая защита серверных комнат.
Направление 5. Мониторинг и тестирование: логирование и мониторинг доступа — все события должны логироваться и анализироваться, логи хранить минимум год; регулярное сканирование уязвимостей (квартал), пентесты (год), анализ кода на уязвимости.
Направление 6. Политика безопасности: письменная политика информационной безопасности для всех сотрудников; регулярное обучение; план реагирования на инциденты.
Звучит объёмно? Да. Но 80% требований закрываются правильной архитектурой и токенизацией, а не героическими усилиями.
Хранение CVV/CVC кодов — запрещено после авторизации. Вы не имеете права хранить трёхзначный код на обороте карты. Даже в зашифрованном виде. Штраф — гарантирован.
Отсутствие сегментации сети — компании экономят и не выделяют CDE (Cardholder Data Environment) в отдельную защищённую зону. Скомпрометированный ноутбук менеджера становится точкой входа к транзакциям. Решение: физические или виртуальные VLAN с firewall-правилами.
Несвоевременное обновление ПО — база данных или веб-сервер с уязвимостью полугодовой давности = мгновенный fail на сканировании. Решение: автоматические обновления или еженедельный патч-менеджмент.
Одна учётная запись на всех — один логин/пароль для панели администрирования для трёх сотрудников. Аудит не поймёт, кто именно что сделал. Решение: уникальные логины + MFA.
Отсутствие логов или неправильное хранение — логи пишутся, но хранятся 2 месяца (требуется минимум год). Или они не защищены от подделки. Решение: централизованная система сбора логов с контролем целостности.
Уровень 1 — более 6 млн транзакций в год: ежегодный аудит (ROС) сторонней квалифицированной компанией (QSA) + сканирование сети. Уровень 2 — 1–6 млн: самооценка (SAQ) + сканирование каждые 3 месяца. Уровень 3 — 20 000–1 млн: SAQ + сканирование. Уровень 4 — менее 20 000: SAQ (упрощённая). Большинство средних интернет-магазинов и стартапов попадают в уровень 3 или 4.
Шаг 1. Определите область (Scope) CDE — найдите все системы, которые касаются карточных данных. Всё, что вне этого контура, можно не сертифицировать.
Шаг 2. Примените токенизацию или редирект — идеальный сценарий: вы не храните карточные данные вообще. Используйте платёжные шлюзы с токенами (YooKassa, Tinkoff, Сбер). Так ваша область PCI сокращается до минимума.
Шаг 3. Внедрите недостающие меры: сетевой экран и сегментация; шифрование и TLS; уникальные пользователи и MFA; логирование и мониторинг; политика безопасности.
Шаг 4. Проведите внутренний аудит и сканирование — наймите QSA или используйте утверждённый сканер уязвимостей (ASV). Исправьте все критические и высокие риски.
Шаг 5. Заполните SAQ или пройдите аудит — для уровня 1 — выездной аудит аудиторской компании.
Шаг 6. Поддерживайте соответствие постоянно: ежеквартальное сканирование; ежегодное обновление SAQ/аудита; мониторинг логов ежедневно; обучение сотрудников.
Токенизация (вместо PAN — токен) снижает область сертификации. WAF (Web Application Firewall) фильтрует атаки на веб-приложения. SIEM-система для сбора и анализа логов (MaxPatrol, ArcSight). Сканеры уязвимостей: Positive Technologies, OpenVAS. Менеджер паролей и MFA: Bitwarden, Keeper + Google Authenticator. Мы в AXIIOM используем комбинацию open-source (для стартапов) и enterprise-решений (для крупных клиентов). Главное — не гнаться за дороговизной, а правильно настроить.
Подготовка инфраструктуры и ПО — от 200 000 ₽ для малого бизнеса до нескольких миллионов для enterprise. Работа QSA аудитора или заполнение SAQ (SAQ — бесплатно, аудит уровня 1 — от $20 000). Сканирование уязвимостей ASV — от 50 000 ₽/квартал. Вывод: дешевле сделать правильно с первого раза, чем платить штрафы и восстанавливать репутацию после утечки.
Миф 1: «Мы маленькие, нас не тронут». Реальность: эквайер обязан проверять всех. Даже ИП с 10 транзакциями в день может получить запрос SAQ.
Миф 2: «Если используем Stripe/Tinkoff/YooKassa, PCI не нужен». Реальность: если вы перенаправляете клиента на платёжную страницу и не касаетесь данных карт, требования снижаются, но не обнуляются.
Миф 3: «Один раз прошли — и забыли». Реальность: требования обновляются (сейчас версия 4.0). Нужно поддерживать ежегодно.
Мы не аудиторы (не QSA). Но мы проектируем и разрабатываем системы, которые легко проходят аудит и продолжают работать безопасно. Что мы делаем: архитектурный аудит текущей системы обработки платежей; проектирование сегментации и защищённой сети для выделения CDE; разработка платёжных модулей с токенизацией; внедрение безопасных практик разработки; сопровождение при прохождении PCI DSS.
Пример из практики: клиент — маркетплейс с 50 000 платежей в месяц (уровень 3). Мы провели аудит и обнаружили, что логи платёжного шлюза хранятся на общем файловом сервере с открытым доступом для 20 сотрудников. Настроили отдельный защищённый сервер для логов, внедрили ротацию и шифрование, обучили персонал, помогли заполнить SAQ D. Результат: сертификация пройдена, штрафов избежали.
Наш подход: безопасность вшита в архитектуру, а не «сверху»; минимизация зоны сертификации (токенизация, редирект); полная документация для аудиторов; пост-релизная поддержка и мониторинг.
Что мы предлагаем: бесплатный экспресс-аудит на предмет соответствия PCI DSS (1 час с нашим инженером); разработка платёжного модуля с нуля или интеграция готового шлюза; сопровождение сертификации под ключ — от архитектуры до сдачи отчёта.
AXIIOM — безопасная разработка для финтеха, ритейла и e-commerce.