PCI DSS (Payment Card Industry Data Security Standard) — стандарт безпеки даних індустрії платіжних карток. Стандарт розроблений Радою зі стандартів безпеки індустрії платіжних карток, заснованих міжнародними платіжними системами Visa, MasterCard, American Express, JCB та Discover.
PCI DSS застосовується для всіх організацій сфери обробки платіжних карток:
- торгових точок,
- процесингових центрів,
- фінансових установ,
- постачальників послуг, а також
- інших організацій, які зберігають, обробляють або передають дані власників карток та (або) критичні автентифікаційні дані.
Існують різні способи підтвердження відповідності вимогам стандарту PCI DSS:
1) проведення зовнішнього аудиту (QSA- Qualified Security Assessor)
Цей аудит виконується зовнішньою аудиторською організацією QSA, сертифікованою Радою PCI SSС. У ході проведення аудиту аудиторами фіксуються спостереження – свідоцтва про виконання вимог стандарту, і формується підсумковий звіт про відповідність — ROC (Report on Compliance).
2) проведення внутрішнього аудиту (ISA-Internal Security Assessor) – здійснюється внутрішнім аудитором, який пройшов навчання та сертифікованим за програмою Ради PCI SSC. Внутрішній аудит може бути проведений лише у випадку, якщо первинна відповідність була підтверджена QSA-аудитом. Внутрішній аудитор також збирає свідчення виконання вимог стандарту і зберігає їх протягом трьох років. На даному етапі може бути самостійно заповнений лист самооцінки SAQ.
3) самооцінка (SAQ-Self Assessment Questionnaire) організації – здійснюється самостійно, не потрібно збирання свідоцтв.
Вибір способу підтвердження відповідності вимогам стандарту PCI DSS залежить від типу організації та кількості транзакцій, що обробляються на рік (Існує 4 рівні сертифікатів PCI DSS).