PCI DSS

Так как на сайте проходит весь процесс оплаты, сайт должен обеспечить безопасность карточных данных и их защиту.

Чтобы подтвердить соответствие требованиям безопасности, раз в квартал необходимо выполнять сканирование уязвимостей и поиска вирусов. Сканирование должно проводиться уполномоченным провайдером сканирования.

Уровень	Количество операций	Ежегодно	Ежеквартально
Уровень 1	Более 6 млн	Предоставляют Report on Compliance ("ROC") (Отчет о соблюдении требований), составленный аудиторской компанией, обладающей статусом Qualified Security Assessor ("QSA"), или внутренним аудитором, если такой отчет подписан руководителем компании. Мы рекомендуем получить статус PCI SSC Internal Security Assessor ("ISA") вашему внутреннему аудитору. Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)	Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
Уровень 2	1-6 млн транзакций	Проводят оценку соответствия с заполнением опросника для оценки ("SAQ"). Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)	Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
Уровень 3	20 тыс - 1 млн	Проводят оценку соответствия с заполнением опросника для оценки ("SAQ"). Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)	Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)
Уровень 4	менее 20 тыс	Проводят оценку соответствия с заполнением опросника для оценки ("SAQ").Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия)	Если необходимо, проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)

Уровень 1;Более 6 млн;Предоставляют Report on Compliance ("ROC") (Отчет о соблюдении требований), составленный аудиторской компанией, обладающей статусом Qualified Security Assessor ("QSA"), или внутренним аудитором, если такой отчет подписан руководителем компании. Мы рекомендуем получить статус PCI SSC Internal Security Assessor ("ISA") вашему внутреннему аудитору. Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия);Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования) Уровень 2;1-6 млн транзакций;Проводят оценку соответствия с заполнением опросника для оценки ("SAQ"). Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия);Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования) Уровень 3;20 тыс - 1 млн;Проводят оценку соответствия с заполнением опросника для оценки ("SAQ"). Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия);Проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования) Уровень 4;менее 20 тыс;Проводят оценку соответствия с заполнением опросника для оценки ("SAQ").Отправляют форму Attestation of Compliance ("AOC") (Подтверждение соответствия);Если необходимо, проводят ежеквартальное сканирование сети, выполняемое организацией, имеющей статус Approved Scan Vendor ("ASV") (Уполномоченный провайдер сканирования)

Шаблон заполения листа самооценки: Document Library