Термин: PCI DSS
Термин ATM: Термин: PCI DSS.
PCI DSS — Payment Card Industry Data Security Standard
Определение
PCI DSS (Payment Card Industry Data Security Standard) — стандарт информационной безопасности для организаций, обрабатывающих данные платёжных карт. Разработан и поддерживается PCI SSC (PCI Security Standards Council), основанным Visa, Mastercard, Amex, Discover, JCB в 2006 году.
Актуальная версия
| Версия | Дата | Ключевые изменения |
|---|---|---|
| PCI DSS 3.2.1 | 2018 | Длительно применялась |
| PCI DSS 4.0 | 2022 | Основная редакция перехода на v4 |
| PCI DSS 4.0.1 | 2024-06 | Актуальный документ в библиотеке PCI SSC по состоянию на 2026-05-28 |
12 требований PCI DSS (обзор)
| # | Домен | Ключевые требования |
|---|---|---|
| 1–2 | Сеть | Firewall, запрет default паролей |
| 3–4 | Данные карт | Не хранить CVV/CVV2, шифровать PAN в transit |
| 5–6 | Уязвимости | Антивирус, patching |
| 7–8 | Доступ | Need-to-know, MFA, управление учётными записями |
| 9 | Физическая безопасность | Контроль доступа к терминалам, защита от skimming |
| 10 | Мониторинг | Логирование, audit trail |
| 11 | Тестирование | Pen test, сканирование уязвимостей |
| 12 | Политики | Программа ИБ, управление рисками |
PCI DSS и ATM
| Требование | Применение к ATM |
|---|---|
| Req 2 | Сменить default-пароли на ATM-ОС и приложениях |
| Req 3 | PAN не хранить в открытом виде в EJ (маскировать) |
| Req 4 | Защищать передачу cardholder data по открытым/публичным сетям; конкретная версия TLS зависит от применимых требований и risk assessment |
| Req 6 | Patching Windows IoT на ATM |
| Req 9 | Anti-skimming устройства, камеры, контроль физического доступа |
| Req 10 | Вести audit trail и контролировать доступ к системам; срок хранения EJ как расследовательского журнала зависит также от правил схемы, закона и политики банка |
| Req 12 | Политика реагирования на инциденты с ATM |
PCI PTS — отдельный стандарт для PIN-устройств
PCI PTS (PIN Transaction Security) — стандарт для физических PIN-устройств (EPP, POS PIN Pad):
- Требования к EPP: tamper-evidence, tamper-response, защита PIN и cardholder data в point-of-interaction устройствах.
- PCI SSC опубликовал PCI PTS POI Modular Security Requirements v7.0 в 2025.
- Для платежных HSM отдельная ветка стандарта: PCI PTS HSM v5.0 опубликована в 2026.
- ATM должен использовать EPP с актуальным сертификатом PCI PTS
Где используется
- ATM-Архитектура-ATM — EPP (PCI PTS), HSM (FIPS)
- ATM-IFX-и-другие — TLS для канала связи
- ATM-Diebold-Vynamic — Vynamic Security (PCI compliance)
- TERM-hsm · TERM-epp · TERM-tokenization
Источники
- PCI SSC: Document Library — PCI DSS v4.0.1.
- PCI SSC: Just Published: PTS POI v7.0.
- PCI SSC: PCI SSC Publishes PCI PTS HSM v5.0.