Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Глоссарий

Что такое PCI DSS — стандарт безопасности для работы с данными платёжных карт

PCI DSS — международный стандарт безопасности для бизнеса, который работает с данными платёжных карт. Разбираем, на кого он распространяется, что требует — шифрование, контроль доступа, мониторинг — и самый безопасный вариант из всех: не хранить данные карт у себя. Подход через защиту.

Опубликовано 2026-07-04 Обновлено 2026-07-04 3 мин чтения

PCI DSS не обойти, если вы работаете с данными карт. Вот область применения и суть — и самый безопасный выбор из всех, «не хранить их», — в терминах защиты.

Что он требует (в общих чертах)

Дело не столько в одной технологии, сколько в позиции эксплуатации: защищать чувствительные данные в минимальной области, эшелонированно и вести записи.

1

Защищайте (шифрование, контроль доступа)

Шифруйте хранимые данные с управлением ключами, шифруйте данные при передаче и обеспечьте контроль доступа по принципу наименьших привилегий (сузьте круг тех, кто может касаться данных карт). Аутентификация vs авторизация — это фундамент.

2

Укрепляйте (никаких значений по умолчанию, управление уязвимостями)

Устраните пароли по умолчанию и слабые учётные данные, а также мониторьте CVE в зависимостях и патчите. Защита от вредоносного ПО включена.

3

Записывайте (логирование, мониторинг, регулярное тестирование)

Ведите журналы того, кто, что и когда сделал, и мониторьте. Регулярно сканируйте и тестируйте, чтобы поддерживать стандарт.

Самый безопасный выбор: сузить область применения

Взгляд этого сайта: лучшая защита — не хранить это

Выполнять каждое требование PCI DSS по одному — большая работа; сильнее всего помогает конструкция, при которой вы вообще не храните номера карт в своей системе. Передайте обработку карт совместимому провайдеру и работайте только с токенизированной ссылкой — и область применения вашей среды резко сузится. Тот же принцип, которому следует этот сайт: с чувствительными данными не храните, не размещайте, минимизируйте — это и соответствие, и самая сильная защита. Проверьте, что экраны и трафик обработки карт никогда не попадают в публичные каталоги или журналы (→ не держите секреты в публичных каталогах).

Связанная идея

Расширение области применения (тяжело)

  • хранение номеров карт в своей БД
  • множество серверов и людей могут касаться данных карт
  • поверхность аудита и шифрования растёт, нагрузка раздувается

Сужение области применения (безопасно)

  • передача обработки карт совместимому провайдеру
  • вы работаете только с токенизированной ссылкой
  • область применения минимизирована, риск утечки сужается вместе с ней

Читать дальше

Источник

FAQ

QНа кого распространяется PCI DSS?
A

На любой бизнес, который хранит, обрабатывает или передаёт данные платёжных карт (номера карт и т. п.) — интернет-магазины, физические магазины, SaaS с обработкой платежей. Строгость доказательства масштабируется с объёмом транзакций, но «малый объём» не означает «освобождён». Как только вы касаетесь данных карт, стандарт вступает в игру.

QЧто PCI DSS требует на деле?
A

В общих чертах: защитить сеть (файрволы и т. п.), шифровать хранимые данные с управлением ключами, устранить значения по умолчанию и слабые учётные данные, контроль доступа по принципу наименьших привилегий, шифрование данных при передаче, управление уязвимостями (патчи, защита от вредоносного ПО), логирование и мониторинг, регулярное тестирование. Дело не столько в одной технологии, сколько в позиции эксплуатации: защищать чувствительные данные в минимальной области, эшелонированно и вести записи.

QКак лучше всего снизить нагрузку по соответствию?
A

Вообще не хранить номера карт в своей системе. Передайте обработку карт совместимому платёжному провайдеру и работайте только с токенизированной ссылкой — и область применения вашей среды резко сузится. Данные, которых у вас нет, не утекут — самая сильная защита, далеко за пределами карт.