PCI DSS 4.0

Стандарт безопасности данных индустрии платёжных карт

Платёжные данные

PCI DSS 4.0 — стандарт безопасности данных индустрии платёжных карт, обязательный для всех организаций, обрабатывающих, хранящих или передающих данные банковских карт. Версия 4.0 вступила в силу в марте 2024 года и вводит более гибкий подход к выполнению требований.

Целевая аудитория

Банки, платёжные системы, интернет-магазины, процессинговые центры и любые компании, работающие с картами Visa, Mastercard, МИР.

Ключевые контроли

2.2

Безопасная конфигурация системных компонентов

Системные компоненты настроены и управляются безопасно

2.3

Безопасность беспроводных сред

Беспроводные среды настроены и управляются безопасно

3.4

Защита хранимых данных

Доступ к отображению полного PAN и возможность копирования данных карт ограничены

4.1.1

Шифрование передаваемых данных

Процессы и механизмы защиты данных карт с использованием стойкой криптографии при передаче

4.2.1

Стойкая криптография при передаче

Использование стойких протоколов криптографии для защиты PAN при передаче по открытым сетям

6.2.4

Защита от распространённых уязвимостей

Программное обеспечение защищено от известных уязвимостей

6.3

Управление уязвимостями безопасности

Уязвимости безопасности выявляются и устраняются

6.4

Защита web-приложений от атак

Публичные web-приложения защищены от атак

8.3

Строгая аутентификация пользователей

Строгая аутентификация для пользователей и администраторов установлена и управляется

8.4

Многофакторная аутентификация

MFA реализована для защиты доступа к CDE

11.3

Регулярное тестирование безопасности

Внешние и внутренние уязвимости регулярно выявляются и устраняются

Проверяемые категории

SSL/TLSDNSOpen PortsWeb SecurityInformation DisclosureAuthenticationConfigurationVulnerabilitySecurity HeadersTechnology StackLeaked CredentialsCertificate TransparencyCode LeakAPI SecuritySupply Chain

Часто задаваемые вопросы

Кому нужен PCI DSS?

Всем организациям, которые принимают, хранят или передают данные платёжных карт — от интернет-магазинов до банков.

Какие штрафы за несоблюдение PCI DSS?

Штрафы от платёжных систем до $100 000 в месяц, а также отключение от приёма платежей.

Чем версия 4.0 отличается от 3.2.1?

PCI DSS 4.0 вводит кастомизированный подход (Customized Approach), усиленные требования к аутентификации и обязательный непрерывный мониторинг.

Как КиберОценка помогает с PCI DSS?

Наш сканер автоматически проверяет технические контроли PCI DSS: шифрование, конфигурации, уязвимости, заголовки безопасности.

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Проверьте соответствие PCI DSS