PCI DSS и Shop-Script 5

Блог »
5 ноября 2013

PCI DSS (Payment Card Industry Data Security Standard) — это стандарт информационной безопасности данных о держателях платежных карт. Все компании, которые хранят, передают или обрабатывают данные о банковских картах, должны проходить сертификацию соответствия стандарту PCI DSS. Подробнее на официальном сайте PCI DSS или в Википедии.

Нужно ли проходить дорогостоящую сертификацию по правилам безопасности PCI DSS, если вы работаете с Shop-Script 5?

Нет, не нужно! Shop-Script 5 не хранит, не передает и не обрабатывает данные о банковских картах, и поэтому не попадает под правила сертификации PCI DSS. Все плагины приема платежей по банковским картам в Shop-Script 5 работают так, что данные о банковских картах вводятся не на стороне магазина (не на страницах сайта интернет-магазина), а на стороне платежной системы. Следовательно, вопрос соответствия правилам PCI DSS решается платежной системой, а не вашим интернет-магазином. В магазине Webasyst нет плагинов, которые требовали бы сертификации по стандартам PCI DSS. Если такой плагин появится, то в его описании будет однозначно и явным образом написано о необходимости сертификации по PCI DSS.

Сертификацию требуется проводить только если вы хотите, чтобы клиенты вводили данные о своих платежных картах непосредственно на вашем сайте. Процедура сертификации является достаточно дорогостоящей и длительной и производится аккредитованными компаниями QSA (Qualified Security Assessor).

McAfee SECURE. О безопасности Shop-Script 5 и облака Webasyst

McAfee SECURE sites help keep you safe from identity theft, credit card fraud, spyware, spam, viruses and online scams

Несмотря на то, что формально требования сертификации по стандарту PCI DSS не применимы к Shop-Script 5 и другим нашим программным продуктам, это нисколько не уменьшает значимости работ по тестированию безопасности фреймворка Webasyst и его приложений. В процессе разработки вопросам защищенности продуктов мы уделяем большое внимание.

Уже в течение долгого времени мы работаем с компанией McAfee, сертифицированным ASV-аудитором PCI DSS (Approved Scanning Vendor), и проводим ежедневное тестирование облака Webasyst и работающих в нем программных продуктов: Shop-Script 5, приложений «Блог», «Фото», «Сайт» и прочих. Автоматизированное тестирование каждый день проводит пен-тесты наших программных продуктов и ресурсов: проверяет на предмет возможных проникновений злоумышленников и уязвимостей, таких как SQL-инъекции, XSS и т.п.

Отчет о сканировании говорит о полном соответствии облака Вебасиста и всех работающих в нем программных продуктов требованиям PCI DSS: посмотрите заключение McAfee в формате PDF.