PCI Standards for ATM
Карта стандартов PCI, которые напрямую или косвенно относятся к ATM, PIN и HSM.
PCI Standards for ATM
Кратко
Для ATM нет одного единственного «PCI-стандарта банкомата». Нужно разделять требования к данным, PIN-processing environment, PIN-entry devices и HSM.
PCI DSS
PCI DSS задаёт требования к защите cardholder data environment. Для ATM-контекста важны:
- защита cardholder data;
- ограничение sensitive authentication data;
- управление доступом;
- журналирование;
- vulnerability management;
- network security;
- физическая безопасность;
- incident response.
По состоянию на 2026-06-01 актуальная редакция в PCI SSC Document Library — PCI DSS v4.0.1.
PCI PIN Security
PCI PIN Security Standard относится к безопасному управлению, обработке и передаче PIN и связанных криптографических ключей. PCI SSC указывает, что стандарт охватывает PIN data в ATM и POS-средах.
PCI PTS POI
PCI PTS POI Modular Security Requirements относятся к Point-of-Interaction devices. Для ATM особенно важен контекст EPP и защиты от physical tampering и malware insertion.
PCI SSC опубликовал PCI PTS POI v7.0 2025-05-29.
PCI PTS HSM
PCI PTS HSM Modular Security Requirements относятся к payment HSM.
PCI SSC опубликовал PCI PTS HSM v5.0 2026-05-18. В новой версии расширены требования для современных криптографических практик, remote administration, multi-tenant и HSM-as-a-Service environments.
Что относится к ATM напрямую
- защищённый ввод PIN;
- EPP;
- physical tampering;
- журналирование и защита данных;
- service access;
- patch и vulnerability management;
- incident response;
- защита ATM network;
- эксплуатация terminal software.
Что относится косвенно
- процессинговый HSM;
- key management;
- RKL;
- backend systems;
- централизованное хранение EJ;
- SOC и monitoring;
- подрядчики managed services.
Типичные ошибки понимания
| Ошибка | Корректное уточнение |
|---|---|
| «ATM соответствует PCI DSS, значит весь ATM-канал безопасен» | PCI DSS — важный слой, но не заменяет threat model и эксплуатационные controls |
| «PCI DSS и PCI PIN Security — одно и то же» | Это разные стандарты с разной областью |
| «PTS POI и PTS HSM взаимозаменяемы» | POI относится к устройствам взаимодействия, HSM — к криптографическим модулям |
| «Номер версии сам определяет применимость» | Применимость и validation requirements зависят от программы compliance и контекста |
Связанные заметки
- TERM-pci-dss
- TERM-hsm
- TERM-epp
- TERM-rkl
- ATM-PIN-Block-Formats
- ATM-Security-Threat-Model
- ATM-Incident-Evidence-Package
Источники
- PCI SSC: Document Library.
- PCI SSC: PCI DSS.
- PCI SSC: PIN Security.
- PCI SSC: PTS POI.
- PCI SSC: PTS HSM.
- PCI SSC: Just Published: PTS POI v7.0.
- PCI SSC: PCI SSC Publishes PCI PTS HSM v5.0.