Как быстро и дешево получить PCI DSS сертификат или как без него обойтись?

Как вы уже догадались, нужно обрабатывать банковские карты на сайте для оплаты услуг и товаров в DST Store.

А вот как это делать, не покидая сайт при оформлении заказа, мало кто знает, а еще меньше разбирается в этом на профессиональном уровне, и одним из них являюсь я )) Так как организовать, дяденьки, прием платежей для электронной коммерции?

Как вы уже догадались, нужно обрабатывать банковские карты на сайте для оплаты услуг и товаров в DST Store.

А вот как это делать, не покидая сайт при оформлении заказа, мало кто знает, а еще меньше разбирается в этом на профессиональном уровне, и одним из них являюсь я )) Так как организовать, дяденьки, прием платежей для электронной коммерции?

Виталий Литвинов

Вы можете организовать прием платежей и уже после подать заявку ну сертификацию (работаю с одной из контор которая принимает платежи, но PCI DSS пока в процессе прохождения), в компанию, которая осуществляет аудит и выдает «бумажку» что вы соответствует требованиям. например, Digital Security, наиболее известная в России компания. Заключаете договор, вам закрепляют аудитора, он приходит и говорит — вот список, будут вопросы — задавайте. Дальше вы спрашиваете его, можно ли сделать так и эдак, а он говорит можно или нет и объясняет, почему. Дальше, когда вы говорите, что вы готовы к проверке, он проводит предварительный аудит, пытаясь взломать систему, как с внешнего, так и с внутреннего периметров. После прохождения предварительного, проходите настоящий аудит. Ну и каждый год подтверждаете)))

p.s. а вообще поищите в интернетах списки требований. однажды искал требования для постгреса, и нашел за 5 минут гугления.

Быстро и дешево pci dss не получают в принципе. 

Это довольно сложно и затратно, особенно какая ни будь оплата в 10 000 баксов. Принимайте через чужой шлюз карточный у которого есть уже сертификация

Как часто необходимо подтверждать соответствие требованиям PCI DSS? И также сразу вопрос — какие требования предъявляются к организации для получения PCI DSS сертификата?

Как часто необходимо подтверждать соответствие требованиям PCI DSS? И также сразу вопрос — какие требования предъявляются к организации для получения PCI DSS сертификата?

Станислав Панасенко

В соответствие требованиям PCI DSS необходимо подтверждать ежегодно.

А по поводу какие требования предъявляют к организации для получения сертификата PCI DSS:

Защита сети. Необходимо использовать брандмауэр, настроить защиту беспроводной сети, запретить использование слабых протоколов шифрования, регулярно обновлять ПО брандмауэров.

Защита данных держателей карты. Данные нужно хранить только в зашифрованном виде, защищать передачу данных по сети, удалять излишние данные, защищать ключи шифрования.

Управление учётными записями и доступом. Необходимо создавать и использовать уникальные идентификаторы для пользователей, настраивать права доступа к системам обработки платежей, ограничивать доступ к информации о держателях карты только необходимым сотрудникам, регулярно менять пароли и использовать сильные пароли.

Защита от вредоносных программ. Нужно устанавливать и обновлять антивирусное ПО на всех системах, защищать все системы обработки платежей от вредоносных программ, регулярно обновлять ПО на всех системах.

Защита физических ресурсов. Необходимо ограничить физический доступ к системам обработки платежей, установить систему видеонаблюдения и контроля доступа.

Мониторинг и тестирование сетей. Нужно отслеживать доступ к данным владельцев карточек и вести журналы безопасности, регулярно тестировать системы и процессы безопасности.

Поддержание политики безопасности. Необходимо установить и поддерживать политику безопасности данных, обучать сотрудников важности безопасности данных.

Требования к организации для получения сертификата PCI DSS могут варьироваться в зависимости от категории компании и уровня сложности её системы обработки платежей.