PCI DSS гэж юу вэ?

PCI DSS (Payment Card Industry Data Security Standard) нь төлбөрийн картын мэдээллийг хамгаалах зорилготой техник, үйл ажиллагааны 12 шаардлага бүхий олон улсын стандарт юм. Энэ стандартыг Visa, MasterCard, American Express, JCB, Discover зэрэг төлбөрийн картын томоохон байгууллагууд хамтран байгуулсан PCI Security Standards Council боловсруулдаг. 

​

Яагаад PCI DSS-г хэрэгжүүлэх шаардлагатай вэ?

​

✅ Картын мэдээллийн алдагдлаас хамгаална.
PCI DSS нь картын өгөгдлийг шифрлэх, хандалтыг хязгаарлах, сүлжээний хамгаалалт хийх зэрэг олон давхар хамгаалалт шаарддаг. Ингэснээр мэдээлэл алдагдах, хакердуулж залилан гарах эрсдэл эрс буурна. 

✅ Банк, картын байгууллагын шаардлага

Хэдийгээр хууль биш ч картын байгууллагуудын заавал биелүүлэх шаардлага тул PCI DSS-гүй бол:

• Картын гүйлгээ хийх эрх хязгаарлагдах

• Торгууль, нэмэлт шимтгэл ногдуулах

• Гүйлгээний шимтгэл өсөх эрсдэлтэй 

✅ Байгууллагын нэр хүндийг хамгаална.

Мэдээлэл алдагдвал:

• Торгууль, шүүхийн зардал

• Харилцагч алдах

• Олон нийтийн итгэл унах зэрэг хохирол учирдаг. PCI DSS нь эдгээр эрсдэлийг бууруулдаг. 

✅ Кибер аюулгүй байдлын суурь тогтолцоо бүрдүүлнэ.

PCI DSS-ийн 12 шаардлага нь:

• Сүлжээний хамгаалалт

• Хандалтын хяналт

• Лог мониторинг

• Эмзэг байдлын удирдлага зэрэг байгууллагын нийт аюулгүй байдлыг сайжруулдаг. 

​

PCI DSS-ийн ач холбогдол

​

✅ Картын өгөгдлийн хамгаалалт - Залилан, хакер халдлагаас хамгаална.

✅ Санхүүгийн эрсдэлийг бууруулна - Торгууль, нөхөн төлбөр, шүүхийн зардлаас сэргийлнэ.

✅ Харилцагчийн итгэлийг нэмэгдүүлнэ - “Secure to transact” гэсэн баталгаа болно. 

✅ Бизнесийн тасралтгүй ажиллагааг хангана - Картын гүйлгээ зогсох эрсдэлээс хамгаална.

✅ Олон улсын шаардлагад нийцнэ - Гадаад түнш, банк, процессортой ажиллах боломж нээгдэнэ.

 

Хэн PCI DSS-г хэрэгжүүлэх ёстой вэ?

​

✅ Мерчант (Merchant) - Карт уншуулж төлбөр авдаг бүх байгууллага.
✅ Төлбөрийн үйлчилгээ үзүүлэгч (Service Provider)
✅ Банк, санхүүгийн байгууллага
✅ Картын өгөгдөл хадгалдаг, дамжуулдаг, боловсруулдаг бүх байгууллага

​

PCI DSS-ийн 12 үндсэн шаардлага

PCI DSS нь дараах 6 зорилго, 12 шаардлагаас бүрдэнэ:

✅ Аюулгүй сүлжээ ба систем

• Firewall тохируулах  

• Нийтийн нууц үг, default тохиргоо ашиглахгүй байх

✅ Картын өгөгдлийг хамгаалах

• Хадгалж буй өгөгдлийг хамгаалах  

• Сүлжээгээр дамжуулах үед шифрлэх

✅ Эмзэг байдлын удирдлага

• Антивирус  

• Patch management, secure coding

✅ Хандалтын хяналт

• Need-to-know зарчим  

• Unique ID  

• Physical access control

✅ Мониторинг ба тест

• Лог бүртгэл  

• Vulnerability scan, penetration test

✅ Аюулгүй байдлын бодлого

• Security policy