PCI DSS стандарт

PCI DSS — один из ключевых стандартов безопасности в карточных платежах. Он касается продавцов, платежных шлюзов, процессоров, эквайеров, сервис-провайдеров и других организаций, которые хранят, обрабатывают и передают данные платежных карт.

Что такое PCI DSS?

PCI DSS расшифровывается как Payment Card Industry Data Security Standard, или «стандарт безопасности данных индустрии платежных карт». Это глобальный стандарт, созданный для защиты данных держателей карт и снижения риска кражи платежной информации, мошенничества и несанкционированного использования данных.

Стандарт поддерживается PCI Security Standards Council — международной организацией, которая разрабатывает требования и рекомендации в области платежной безопасности. PCI DSS применяется к компаниям, работающим с карточными данными: продавцам, платежным шлюзам, процессорам, эквайерам и сервис-провайдерам.

Для онлайн-бизнеса PCI DSS тесно связан с тем, как устроены платежные шлюзы, процессинг и эквайринг. Платежный шлюз может сократить объем данных, проходящих через системы продавца, но не отменяет необходимость понимать свои обязанности по безопасности.

Что требует PCI DSS

PCI DSS устанавливает технические и операционные требования к защите платежных данных. Конкретный объем требований зависит от того, как компания принимает платежи, хранит ли данные карт и какие системы входят в среду данных держателей карт.

Стандарт охватывает:

• сетевую безопасность;
• безопасную настройку систем;
• защиту сохраненных платежных данных;
• шифрование данных при передаче;
• защиту от вредоносного ПО;
• безопасную разработку;
• контроль доступа;
• аутентификацию пользователей;
• физическую безопасность;
• логирование и мониторинг;
• тестирование безопасности;
• политики информационной безопасности.

Актуальная версия — PCI DSS v4.0.1. Это ограниченное обновление версии 4.0: оно уточняет формулировки и исправляет незначительные ошибки, а не создает новый стандарт с нуля.

Почему PCI DSS важен

Карточные платежи остаются значимой частью глобальной торговли, даже несмотря на рост электронных кошельков, account-to-account payments, BNPL и криптовалют. В Worldpay Global Payments Report 2025 указано, что цифровые методы оплаты выросли с 34% глобальной стоимости e-commerce транзакций в 2014 году до 66% в 2024 году. Чем больше платежных методов и инфраструктуры, тем выше требования к защите данных.

PCI DSS важен, потому что платежные данные представляют высокую ценность для злоумышленников. Слабый checkout, неправильно настроенный шлюз, уязвимый скрипт платежной страницы или небезопасное хранение данных могут привести к финансовым потерям и репутационным рискам.

Для бизнеса PCI DSS — это не только прохождение проверки. Это способ снизить лишние риски во всем платежном потоке.

PCI DSS и онлайн-платежи

В e-commerce PCI DSS часто затрагивает checkout, платежную страницу, интеграцию со шлюзом, API, скрипты, логи и административный доступ. Это особенно важно, потому что checkout сам по себе является чувствительным этапом покупки. Исследования Baymard Institute показывают, что фрикция, сигналы доверия и ошибки оплаты напрямую влияют на конверсию.

Снизить объем требований PCI DSS помогают:

• hosted payment pages;
• токенизация карточных данных;
• отказ от лишнего хранения данных карт;
• работа с compliant-провайдерами;
• отделение платежных систем от остальной инфраструктуры;
• мониторинг скриптов платежной страницы;
• ограничение доступа сотрудников к платежным данным.

PCI DSS и криптоплатежи

PCI DSS применяется к данным платежных карт, а не к blockchain-транзакциям как таковым. Но криптобизнесу может потребоваться соответствие PCI DSS, если он также принимает карты, использует card-funded purchases, работает с fiat on-ramp или проводит карточные платежи через шлюз.

Криптопродавцу могут понадобиться и карточные меры безопасности, и криптоспецифичные инструменты: проверка кошельков, мониторинг транзакций, операционный контроль и процедуры снижения рисков при приеме криптоплатежей.

В исследовании о криптоплатежах в e-commerce отмечается, что криптовалюты пока составляют около 0,5% глобальной стоимости e-commerce транзакций, хотя интерес продавцов продолжает расти. По мере развития гибридных платежных моделей бизнесу важно понимать, где заканчивается безопасность карточных данных и начинается управление крипторисками.

FAQ