Стандарт безопасности данных индустрии платежных карт

Стандарт безопасности данных индустрии платежных карт ( PCI DSS ) – это стандарт информационной безопасности, используемый для обработки кредитных карт основных брендов . Стандарт администрируется Советом по стандартам безопасности индустрии платежных карт , и его использование предписано брендами карт. Он был создан для лучшего контроля данных держателей карт и предотвращения мошенничества с кредитными картами . Проверка соответствия осуществляется ежегодно или ежеквартально методом, подходящим для объема транзакций: ^{[ 1 ]}

Анкета самооценки (SAQ)
конкретной фирмы Оценщик внутренней безопасности (ISA)
Внешний квалифицированный оценщик безопасности (QSA)

История

У основных брендов карточек было пять различных программ безопасности:

Visa карт Программа информационной безопасности держателей
Mastercard сайта Защита данных
American Express Операционная политика безопасности данных
Discover Информационная безопасность и соответствие требованиям
JCB Программа безопасности данных

Намерения каждого из них были примерно одинаковыми: создать дополнительный уровень защиты эмитентов карт, гарантируя, что продавцы соблюдают минимальный уровень безопасности при хранении, обработке и передаче данных о держателях карт. Чтобы решить проблемы совместимости существующих стандартов, совместные усилия основных организаций, выпускающих кредитные карты, привели к выпуску версии 1.0 PCI DSS в декабре 2004 года. ^{[ нужна ссылка ]} PCI DSS внедрен и соблюдается во всем мире.

Затем был сформирован Совет по стандартам безопасности индустрии платежных карт (PCI SSC), и эти компании согласовали свою политику с созданием PCI DSS. ^{[ 2 ]} MasterCard, American Express, Visa, JCB International и Discover Financial Services учредили PCI SSC в сентябре 2006 года в качестве административного и управляющего органа, который отвечает за эволюцию и развитие PCI DSS. ^{[ 3 ]} Независимые частные организации могут участвовать в разработке PCI после регистрации. Каждая участвующая организация присоединяется к SIG (группе специальных интересов) и вносит свой вклад в деятельность, санкционированную этой группой. Доступны следующие версии PCI DSS: ^{[ 4 ]}

Версия	Дата	Примечания
1.0	15 декабря 2004 г.
1.1	сентябрь 2006 г.	уточнения и небольшие правки
1.2	октябрь 2008 г.	повышенная ясность, повышенная гибкость и устранение возникающих рисков и угроз.
1.2.1	июль 2009 г.	незначительные исправления, призванные обеспечить большую ясность и последовательность стандартов и сопроводительных документов.
2.0	октябрь 2010 г.
3.0	ноябрь 2013 г.	активен с 1 января 2014 г. по 30 июня 2015 г.
3.1	апрель 2015 г.	на пенсии с 31 октября 2016 г.
3.2	апрель 2016 г.	на пенсии с 31 декабря 2018 г.
3.2.1	май 2018 г.	на пенсии с 31 марта 2024 г.
4.0	март 2022 г.	обновленная терминология межсетевого экрана, расширение Требования 8 для реализации многофакторной аутентификации (MFA), повышенная гибкость для демонстрации безопасности и целенаправленный анализ рисков для организации работы и управления рисками. ^{[ 5 ]}

Требования

PCI DSS содержит двенадцать требований к соответствию, сгруппированных в шесть связанных групп, известных как цели контроля: ^{[ 6 ]}

Создавать и поддерживать безопасную сеть и системы
Защитите данные держателей карт
Поддерживать программу управления уязвимостями
Внедрить строгие меры контроля доступа
Регулярно отслеживайте и тестируйте сети
Поддерживать политику информационной безопасности

В каждой версии PCI DSS эти шесть групп требований разделены по-разному, но двенадцать требований не изменились с момента появления стандарта. Каждое требование и подтребование разделено на три раздела:

Требования PCI DSS: Определите требование. Одобрение PCI DSS осуществляется после реализации требования.
Тестирование: процессы и методологии, выполняемые оценщиком для подтверждения надлежащего внедрения.
Руководство: объясняет цель требования и соответствующее содержание, что может помочь в его правильном определении.

В версии 3.2.1 PCI DSS двенадцать требований:

Установите и поддерживайте систему межсетевого экрана для защиты данных держателей карт.
Избегайте использования настроек по умолчанию для системных паролей и других параметров безопасности, предоставленных поставщиком.
Защитите сохраненные данные держателей карт.
Шифруйте передачу данных о держателях карт в открытых общедоступных сетях.
Защитите все системы от вредоносного ПО и обновите антивирусное программное обеспечение или программы.
Разрабатывать и поддерживать безопасные системы и приложения.
Ограничьте доступ к данным о держателях карт в соответствии с потребностями бизнеса .
Идентификация и аутентификация доступа к компонентам системы.
Ограничьте физический доступ к данным держателей карт.
Отслеживайте и контролируйте доступ к сетевым ресурсам и данным держателей карт.
Регулярно тестируйте системы и процессы безопасности.
Поддерживать политику информационной безопасности, которая обеспечивает информационную безопасность для всего персонала.

Обновления и дополнительная информация

PCI SSC (Совет по стандартам безопасности индустрии платежных карт) опубликовал дополнительную информацию для разъяснения требований, которая включает в себя:

Информационное дополнение: Требование 11.3 Тестирование на проникновение
Информационное дополнение: разъяснено требование 6.6 «Проверки кода и брандмауэры приложений»
Навигация по PCI DSS: понимание сути требований
Рекомендации PCI DSS по беспроводной связи ^{[ 7 ]}
Применимость PCI DSS в среде EMV
Приоритетный подход к PCI DSS
Инструмент приоритетного подхода
Краткое справочное руководство PCI DSS
Рекомендации по виртуализации PCI DSS
Рекомендации по токенизации PCI DSS
Рекомендации по оценке рисков PCI DSS 2.0
Жизненный цикл изменений в PCI DSS и PA-DSS
Руководство по определению объема и сегментации PCI DSS
Центр ресурсов PCI DSS v4.0 ^{[ 8 ]}

Уровни отчетности

Компании, на которых распространяются стандарты PCI DSS, должны соответствовать требованиям PCI; то, как они доказывают и сообщают о своем соблюдении, зависит от их ежегодного количества транзакций и способа их обработки. Эквайер или платежный бренд может вручную перевести организацию на уровень отчетности по своему усмотрению. ^{[ 9 ]} Уровни торговца:

Уровень 1 – Более шести миллионов транзакций ежегодно.
Уровень 2 – От одного до шести миллионов транзакций.
Уровень 3 – от 20 000 до одного миллиона транзакций и все продавцы электронной коммерции.
Уровень 4 – Менее 20 000 транзакций

Каждый эмитент карт ведет таблицу уровней соответствия и таблицу поставщиков услуг. ^{[ 10 ]}^{[ 11 ]}

Проверка соответствия

Проверка соответствия включает оценку и подтверждение того, что меры и процедуры безопасности реализованы в соответствии с PCI DSS. Валидация происходит посредством ежегодной оценки, проводимой либо внешней организацией, либо путем самооценки. ^{[ 12 ]}

Отчет о соответствии

Отчет о соответствии (ROC) составляется квалифицированным оценщиком безопасности PCI (QSA) и предназначен для независимой проверки соответствия организации стандарту PCI DSS. В результате завершения ROC выдается два документа: шаблон отчета ROC, содержащий подробное объяснение проведенного тестирования, и Свидетельство о соответствии (AOC), документирующее завершение ROC, и общее заключение ROC.

Анкета для самооценки

Анкета для самооценки PCI DSS (SAQ) — это инструмент проверки, предназначенный для малых и средних торговцев и поставщиков услуг для оценки их собственного статуса соответствия PCI DSS. Существует несколько типов опросных листов, каждый из которых имеет разную длину в зависимости от типа организации и используемой модели оплаты. На каждый вопрос опросного листа можно дать ответ «да» или «нет», а любой ответ «нет» требует от организации указать его будущую реализацию. Как и в случае с ROC, также проводится аттестация соответствия (AOC) на основе опросного листа SAQ.

Эксперты по безопасности

Совет по стандартам безопасности PCI поддерживает программу сертификации компаний и частных лиц для выполнения оценочной деятельности.

Квалифицированный оценщик безопасности

Квалифицированный оценщик безопасности (QSA) — это лицо, сертифицированное Советом по стандартам безопасности PCI для подтверждения соответствия другой организации PCI DSS. QSA должны наниматься и спонсироваться компанией QSA, которая также должна быть сертифицирована Советом по стандартам безопасности PCI. ^{[ 13 ]}^{[ 14 ]}

Эксперт внутренней безопасности

Оценщик внутренней безопасности (ISA) — это человек, который получил сертификат Совета по стандартам безопасности PCI для своей организации-спонсора и может проводить самооценку PCI для своей организации. Программа ISA была разработана, чтобы помочь продавцам уровня 2 соответствовать требованиям проверки соответствия Mastercard. ^{[ 15 ]} Сертификация ISA дает возможность человеку проводить оценку своей ассоциации и предлагать решения по обеспечению безопасности и средства контроля для соответствия PCI DSS. ISA отвечают за сотрудничество и участие с QSA. ^{[ 12 ]}

Соответствие и проверка соответствия

Хотя PCI DSS должен быть внедрен всеми организациями, которые обрабатывают, хранят или передают данные о держателях карт, формальная проверка соответствия PCI DSS не является обязательной для всех организаций. Visa и Mastercard требуют, чтобы торговцы и поставщики услуг прошли проверку в соответствии с PCI DSS; Visa также предлагает Программу технологических инноваций (TIP), альтернативную программу, которая позволяет квалифицированным продавцам прекратить ежегодную проверку соответствия PCI DSS. Продавцы имеют право на участие в программе, если они принимают альтернативные меры предосторожности против мошенничества, такие как использование EMV или двухточечного шифрования .

Банки-эмитенты не обязаны проходить проверку PCI DSS, хотя они должны защищать конфиденциальные данные в соответствии с требованиями PCI DSS. Банки-эквайеры должны соблюдать требования PCI DSS и подтверждать свое соответствие в ходе аудита . В случае нарушения безопасности любая скомпрометированная организация, которая не соответствовала стандарту PCI DSS на момент нарушения, может быть подвергнута дополнительным штрафам (например, штрафам) со стороны брендов карт или банков-эквайеров.

Законодательство в США

Соответствие PCI DSS не требуется федеральным законодательством США , однако законы некоторых штатов напрямую ссылаются на PCI DSS или содержат аналогичные положения. Ученые-правоведы Эдвард Морс и Васант Раваль заявили, что, закрепив соответствие PCI DSS в законодательстве, карточные сети перераспределили издержки мошенничества с эмитентов карт на торговцев. ^{[ 16 ]} В 2007 году Миннесота приняла закон, запрещающий хранить некоторые типы данных платежных карт более 48 часов после авторизации транзакции. ^{[ 17 ]}^{[ 18 ]} Два года спустя Невада включила этот стандарт в закон штата, требуя от торговцев, ведущих бизнес в этом штате, соблюдения действующего стандарта PCI DSS и защищая соответствующие организации от ответственности. Закон штата Невада также позволяет торговцам избегать ответственности по другим утвержденным стандартам безопасности. ^{[ 19 ]}^{[ 16 ]} В 2010 году Вашингтон также включил этот стандарт в закон штата. В отличие от закона штата Невада, организации не обязаны соответствовать требованиям PCI DSS; однако соответствующие организации защищены от ответственности в случае утечки данных. ^{[ 20 ]}^{[ 16 ]}

Споры и критика

Visa и Mastercard налагают штрафы за несоблюдение требований. Стивен и Теодора «Сисси» МакКомб, владельцы ресторана и ночного клуба Cisero's Ristorante и ночного клуба в Парк-Сити, штат Юта , были оштрафованы за нарушение, по которому две криминалистические фирмы не смогли найти доказательств:

МакКомбы утверждают, что система PCI — это не столько система защиты данных карт клиентов, сколько система получения прибыли карточными компаниями посредством штрафов и пени. Visa и MasterCard налагают штрафы на торговцев даже тогда, когда потерь от мошенничества вообще нет, просто потому, что штрафы «им выгодны», говорят Маккомбы. ^{[ 21 ]}

Майкл Джонс, ИТ-директор компании Michaels , дал показания перед подкомитетом Конгресса США по поводу PCI DSS:

[Требования PCI DSS] очень дороги в реализации, их соблюдение запутанно и в конечном итоге субъективно как в их интерпретации, так и в их исполнении. Часто утверждается, что существует только двенадцать «Требований» для соответствия PCI. Фактически существует более 220 подтребований; некоторые из них могут стать непомерным бременем для розничного продавца , а многие из них подлежат интерпретации . ^{[ 22 ]}

PCI DSS может заставить компании уделять больше внимания ИТ-безопасности, даже если минимальных стандартов недостаточно для устранения проблем безопасности. Брюс Шнайер высказался в пользу стандарта:

Регулирование — SOX, HIPAA , GLBA, PCI индустрии кредитных карт, различные законы о раскрытии информации, Европейский закон о защите данных и т. д. — было лучшим оружием, которым отрасль нашла способ бить компании по голове. И это работает. Регулирование заставляет компании более серьезно относиться к безопасности и продавать больше продуктов и услуг. ^{[ 23 ]}

Генеральный менеджер Совета PCI Боб Руссо ответил на возражения Национальной федерации розничной торговли :

[PCI представляет собой структурированное] сочетание... [] специфики и концепций высокого уровня, [что дает] заинтересованным сторонам возможность и гибкость работать с квалифицированными оценщиками безопасности (QSA) для определения соответствующих мер безопасности в своей среде, которые соответствуют целям стандарты PCI. ^{[ 24 ]}

Директор по корпоративным рискам Visa Эллен Ричи заявила в 2018 году: «Пока не обнаружено, что ни одна скомпрометированная организация соответствовала PCI DSS на момент взлома». ^{[ 25 ]} Однако в 2008 году взлом Heartland Payment Systems (подтвержденной как PCI DSS) привел к компрометации ста миллионов номеров карт. Примерно в то же время Hannaford Brothers и компании TJX (также сертифицированные как соответствующие PCI DSS) подверглись аналогичному взлому в результате предположительно скоординированных усилий Альберта Гонсалеса и двух неназванных российских хакеров. ^{[ 26 ]}

Оценки проверяют соответствие продавцов и поставщиков услуг требованиям PCI DSS в определенный момент времени, часто используя выборку , чтобы продемонстрировать соответствие репрезентативным системам и процессам. В обязанности продавца и поставщика услуг входит достижение, демонстрация и поддержание соответствия требованиям на протяжении всего ежегодного цикла проверки и оценки всех систем и процессов. Нарушения могли быть вызваны нарушением соблюдения продавцом и поставщиком услуг письменного стандарта; Hannaford Brothers получила подтверждение соответствия PCI DSS через день после того, как ей стало известно о двухмесячной компрометации ее внутренних систем.

Проверка соответствия требуется только для продавцов уровней с 1 по 3 и может быть необязательной для уровня 4, в зависимости от марки карты и эквайера. В соответствии с деталями проверки соответствия Visa для продавцов, требования проверки соответствия продавцам уровня 4 («Продавцы обрабатывают менее 20 000 транзакций электронной коммерции Visa в год, а все остальные продавцы обрабатывают до 1 миллиона транзакций Visa в год») устанавливаются эквайером . Более 80 процентов компрометаций платежных карт в период с 2005 по 2007 год затронуло торговцев 4-го уровня, которые обработали 32 процента всех таких транзакций. ^{[ нужна ссылка ]}

См. также

Ссылки

^ «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2.1, май 2018 г.» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано (PDF) оригинала 1 сентября 2018 г. Проверено 4 сентября 2018 г.
^ Лю, Цзин; Сяо, Ян; Чен, Хуэй; Оздемир, Суат; Додл, Шринивас; Сингх, Викас (2010). «Обзор стандартов безопасности данных индустрии платежных карт». Опросы и учебные пособия IEEE по коммуникациям . 12 (3): 287–303. дои : 10.1109/SURV.2010.031810.00083 . S2CID 18117838 .
^ "О нас" . Совет по стандартам безопасности PCI . Архивировано из оригинала 2 апреля 2022 года . Проверено 15 декабря 2022 г.
^ «Библиотека документов» . Совет по стандартам безопасности PCI. Архивировано из оригинала 7 ноября 2020 года . Проверено 12 ноября 2020 г.
^ «Обеспечение будущего платежей: PCI SSC публикует стандарт безопасности данных PCI v4.0» . Совет по стандартам безопасности PCI. 31 марта 2022 года. Архивировано из оригинала 9 апреля 2022 года . Проверено 8 апреля 2022 г.
^ «Краткое справочное руководство PCI DSS» (PDF) . Архивировано (PDF) из оригинала 12 ноября 2020 г. Проверено 12 ноября 2020 г.
^ «Информационное приложение: Рекомендации PCI DSS по беспроводной связи» (PDF) . 26 августа 2011 г. Архивировано (PDF) из оригинала 31 октября 2018 г. . Проверено 8 августа 2018 г.
^ «Центр ресурсов PCI DSS v4.0» . Архивировано из оригинала 23 марта 2023 года . Проверено 24 марта 2023 г.
^ «Официальный сайт Совета по стандартам безопасности PCI — проверьте соответствие PCI, загрузите стандарты безопасности данных и безопасности кредитных карт» . www.pcisecuritystandards.org . Архивировано из оригинала 2 сентября 2019 года . Проверено 21 февраля 2007 г.
^ «Виза в Европу» . Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.
^ «Что необходимо знать продавцам | Обработка платежных данных и защищенные транзакции | Mastercard» . www.mastercard.us . Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.
^ Перейти обратно: ^а ^б Совет по стандартам безопасности PCI. «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано из оригинала 19 июля 2023 года . Проверено 4 сентября 2018 г.
^ «Квалифицированные оценщики безопасности» . Совет по стандартам безопасности PCI. Архивировано из оригинала 18 мая 2023 года . Проверено 18 мая 2023 г.
^ «Квалификационные требования к квалифицированным оценщикам безопасности (QSA)» (PDF) . Совет по стандартам безопасности PCI.
^ «Не платите за сертификацию PCI, которая вам не нужна» . FierceRetail . 12 мая 2010 г. Архивировано из оригинала 17 мая 2022 г. Проверено 26 марта 2018 г.
^ Перейти обратно: ^а ^б ^с Эдвард А. Морс; Васант Раваль, Частные заказы в свете закона: достижение защиты потребителей посредством мер безопасности платежных карт. Архивировано 6 августа 2020 г., в журнале Wayback Machine DePaul Business & Commercial Law Journal 10, вып. 2 (зима 2012 г.): 213–266.
^ Джеймс Т. Грейвс, Закон Миннесоты о PCI: небольшой шаг на пути к установленной законом обязанности обеспечивать должную заботу о безопасности данных. Архивировано 6 августа 2020 г., в Wayback Machine. Обзор закона Уильяма Митчелла 34, вып. 3 (2008): 1115-1146.
^ «МИНН. СТАТ. § 325Е.64» . Архивировано из оригинала 10 октября 2019 года . Проверено 10 октября 2019 г.
^ «NEV. REV. STAT. § 603A.215» . Архивировано из оригинала 1 октября 2019 года . Проверено 10 октября 2019 г.
^ «Законы Вашингтонской сессии 2010 г., 1055, § 3» (PDF) . Архивировано (PDF) из оригинала 28 июля 2019 г. Проверено 10 октября 2019 г.
^ Зеттер, Ким (11 января 2012 г.). «Редкая судебная тяжба касается стандартов безопасности и штрафов компаний, выпускающих кредитные карты» . Проводной . Проверено 30 марта 2019 г.
^ «Снижают ли стандарты данных индустрии платежных карт киберпреступность? Слушания в подкомитете по новым угрозам, кибербезопасности, науке и технологиям Комитета внутренней безопасности Палаты представителей, Сто одиннадцатый Конгресс, первая сессия, 31 марта 2009 г.» . ГПО. 31 марта 2009 года. Архивировано из оригинала 30 марта 2019 года . Проверено 30 марта 2019 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ «Брюс Шнайер размышляет о десятилетии тенденций в области безопасности» . Шнайер по безопасности. 15 января 2008 года. Архивировано из оригинала 3 марта 2019 года . Проверено 8 марта 2019 г.
^ «Может ли соблюдение требований PCI нанести ущерб вашей инициативе в области безопасности?» . www.brighttalk.com . Архивировано из оригинала 18 апреля 2021 года . Проверено 9 октября 2020 г.
^ Виджаян, Джайкумар (19 марта 2009 г.). «Критика стандарта безопасности PCI после взлома неуместна, - говорит руководитель Visa» . Компьютерный мир . Архивировано из оригинала 4 сентября 2018 года . Проверено 4 сентября 2018 г.
^ Салим, Хамид М. (2014). Кибербезопасность: системное мышление и системный подход к управлению рисками кибербезопасности (дипломная работа). Массачусетский технологический институт. hdl : 1721.1/90804 . Архивировано из оригинала 18 апреля 2021 года . Проверено 8 октября 2020 г.

Внешние ссылки

Официальный сайт Совета по стандартам безопасности PCI

[PCI_DSS-1] «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2.1, май 2018 г.» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано (PDF) оригинала 1 сентября 2018 г. Проверено 4 сентября 2018 г.

[2] Лю, Цзин; Сяо, Ян; Чен, Хуэй; Оздемир, Суат; Додл, Шринивас; Сингх, Викас (2010). «Обзор стандартов безопасности данных индустрии платежных карт». Опросы и учебные пособия IEEE по коммуникациям . 12 (3): 287–303. дои : 10.1109/SURV.2010.031810.00083 . S2CID 18117838 .

[3] "О нас" . Совет по стандартам безопасности PCI . Архивировано из оригинала 2 апреля 2022 года . Проверено 15 декабря 2022 г.

[PCIDSSLibrary-4] «Библиотека документов» . Совет по стандартам безопасности PCI. Архивировано из оригинала 7 ноября 2020 года . Проверено 12 ноября 2020 г.

[5] «Обеспечение будущего платежей: PCI SSC публикует стандарт безопасности данных PCI v4.0» . Совет по стандартам безопасности PCI. 31 марта 2022 года. Архивировано из оригинала 9 апреля 2022 года . Проверено 8 апреля 2022 г.

[Objectives-6] «Краткое справочное руководство PCI DSS» (PDF) . Архивировано (PDF) из оригинала 12 ноября 2020 г. Проверено 12 ноября 2020 г.

[7] «Информационное приложение: Рекомендации PCI DSS по беспроводной связи» (PDF) . 26 августа 2011 г. Архивировано (PDF) из оригинала 31 октября 2018 г. . Проверено 8 августа 2018 г.

[8] «Центр ресурсов PCI DSS v4.0» . Архивировано из оригинала 23 марта 2023 года . Проверено 24 марта 2023 г.

[9] «Официальный сайт Совета по стандартам безопасности PCI — проверьте соответствие PCI, загрузите стандарты безопасности данных и безопасности кредитных карт» . www.pcisecuritystandards.org . Архивировано из оригинала 2 сентября 2019 года . Проверено 21 февраля 2007 г.

[10] «Виза в Европу» . Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.

[11] «Что необходимо знать продавцам | Обработка платежных данных и защищенные транзакции | Mastercard» . www.mastercard.us . Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.

[PCI_Validation-12] Перейти обратно: ^а ^б Совет по стандартам безопасности PCI. «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано из оригинала 19 июля 2023 года . Проверено 4 сентября 2018 г.

[13] «Квалифицированные оценщики безопасности» . Совет по стандартам безопасности PCI. Архивировано из оригинала 18 мая 2023 года . Проверено 18 мая 2023 г.

[14] «Квалификационные требования к квалифицированным оценщикам безопасности (QSA)» (PDF) . Совет по стандартам безопасности PCI.

[FierceRetail_2010-15] «Не платите за сертификацию PCI, которая вам не нужна» . FierceRetail . 12 мая 2010 г. Архивировано из оригинала 17 мая 2022 г. Проверено 26 марта 2018 г.

[morse-16] Перейти обратно: ^а ^б ^с Эдвард А. Морс; Васант Раваль, Частные заказы в свете закона: достижение защиты потребителей посредством мер безопасности платежных карт. Архивировано 6 августа 2020 г., в журнале Wayback Machine DePaul Business & Commercial Law Journal 10, вып. 2 (зима 2012 г.): 213–266.

[17] Джеймс Т. Грейвс, Закон Миннесоты о PCI: небольшой шаг на пути к установленной законом обязанности обеспечивать должную заботу о безопасности данных. Архивировано 6 августа 2020 г., в Wayback Machine. Обзор закона Уильяма Митчелла 34, вып. 3 (2008): 1115-1146.

[18] «МИНН. СТАТ. § 325Е.64» . Архивировано из оригинала 10 октября 2019 года . Проверено 10 октября 2019 г.

[19] «NEV. REV. STAT. § 603A.215» . Архивировано из оригинала 1 октября 2019 года . Проверено 10 октября 2019 г.

[20] «Законы Вашингтонской сессии 2010 г., 1055, § 3» (PDF) . Архивировано (PDF) из оригинала 28 июля 2019 г. Проверено 10 октября 2019 г.

[21] Зеттер, Ким (11 января 2012 г.). «Редкая судебная тяжба касается стандартов безопасности и штрафов компаний, выпускающих кредитные карты» . Проводной . Проверено 30 марта 2019 г.

[22] «Снижают ли стандарты данных индустрии платежных карт киберпреступность? Слушания в подкомитете по новым угрозам, кибербезопасности, науке и технологиям Комитета внутренней безопасности Палаты представителей, Сто одиннадцатый Конгресс, первая сессия, 31 марта 2009 г.» . ГПО. 31 марта 2009 года. Архивировано из оригинала 30 марта 2019 года . Проверено 30 марта 2019 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[23] «Брюс Шнайер размышляет о десятилетии тенденций в области безопасности» . Шнайер по безопасности. 15 января 2008 года. Архивировано из оригинала 3 марта 2019 года . Проверено 8 марта 2019 г.

[24] «Может ли соблюдение требований PCI нанести ущерб вашей инициативе в области безопасности?» . www.brighttalk.com . Архивировано из оригинала 18 апреля 2021 года . Проверено 9 октября 2020 г.

[COMPUTERWORLD--Post-breach-PCI-25] Виджаян, Джайкумар (19 марта 2009 г.). «Критика стандарта безопасности PCI после взлома неуместна, - говорит руководитель Visa» . Компьютерный мир . Архивировано из оригинала 4 сентября 2018 года . Проверено 4 сентября 2018 г.

[26] Салим, Хамид М. (2014). Кибербезопасность: системное мышление и системный подход к управлению рисками кибербезопасности (дипломная работа). Массачусетский технологический институт. hdl : 1721.1/90804 . Архивировано из оригинала 18 апреля 2021 года . Проверено 8 октября 2020 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]