Забезпечення відповідності сайту вимогам PCI DSS

Наша компанія займається розробкою, підтримкою та обслуговуванням сайтів будь-якої складності. Від простих односторінкових сайтів до масштабних кластерних систем, побудованих на мікро сервісах. Досвід розробників підтверджено сертифікатами від вендорів.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів

Розробка та обслуговування будь-яких видів сайтів:

Інформаційні сайти або веб-програми
Сайти візитки, landing page, корпоративні сайти, онлайн каталоги, квіз, промо-сайти, блоги, ресурси новин, інформаційні портали, форуми, агрегатори
Сайти або веб-програми електронної комерції
Інтернет-магазини, B2B-портали, маркетплейси, онлайн-обмінники, кешбек-сайти, біржі, дропшиппінг-платформи, парсери товарів
Веб-програми для управління бізнес-процесами
CRM-системи, ERP-системи, корпоративні портали, системи управління виробництвом, парсери інформації
Сайти або веб-програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, конструктори сайтів, портали надання електронних послуг, відеохостинги, тематичні портали

Це лише деякі з технічних типів сайтів, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Пропоновані послуги
Показано 1 з 1 послугУсі 2065 послуг
Забезпечення відповідності сайту вимогам PCI DSS
Складна
від 2 тижнів до 3 місяців
Часті питання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_website-b2b-advance_0.png
    Розробка сайту компанії B2B ADVANCE
    1262
  • image_web-applications_feedme_466_0.webp
    Розробка веб-додатків для компанії FEEDME
    1171
  • image_websites_belfingroup_462_0.webp
    Розробка веб-сайту для компанії БЕЛФІНГРУП
    874
  • image_ecommerce_furnoro_435_0.webp
    Розробка інтернет магазину для компанії FURNORO
    1094
  • image_crm_enviok_479_0.webp
    Розробка веб-додатків для компанії Enviok
    831
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Розробка веб-сайту для компанії ФІКСПЕР
    851
Показати більше робіт

Забезпечення відповідності сайту вимогам PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) - це стандарт безпеки для організацій, які обробляють дані платіжних карт. Розроблений Visa, Mastercard, Amex та іншими. Порушення ведуть до штрафів від платіжних систем, втрати права приймати карти, обов'язкового аудиту.

Рівні відповідності

Рівень Обсяг транзакцій Вимоги
Level 1 >6 млн в рік Щорічний аудит QSA + квартальне сканування ASV
Level 2 1–6 млн в рік Щорічний SAQ + квартальне сканування ASV
Level 3 20k–1M онлайн Щорічний SAQ
Level 4 <20k онлайн Щорічний SAQ

SAQ A — мінімальні вимоги для аутсорсингу

Якщо платіжна форма повністю віддана провайдеру (Stripe, Cloudpayments, ЮKassa) і дані карт ніколи не торкаються вашого сервера — застосовується SAQ A з мінімальним набором вимог.

<!-- Stripe Elements — платіжна форма на стороні Stripe -->
<div id="card-element"></div>

<script src="https://js.stripe.com/v3/"></script>
<script>
const stripe = Stripe('pk_live_...');
const elements = stripe.elements();
const card = elements.create('card');
card.mount('#card-element');

const { paymentMethod, error } = await stripe.createPaymentMethod({
    type: 'card',
    card: card,
});
</script>

Вимога 1: Мережа та брандмауер

iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s trusted_ip -j ACCEPT

Вимога 3: Захист даних держателя карти

Якщо зберігаються дані карти (PAN):

class CardStorageService
{
    public function storePan(string $pan): array
    {
        return [
            'masked_pan'   => substr($pan, 0, 6) . '******' . substr($pan, -4),
            'last_four'    => substr($pan, -4),
        ];
    }
}

Ніколи не зберігати: CVV/CVC, PIN, повну смугу магнітної карти.

Вимога 4: Шифрування при передачі

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers off;

Вимога 7-8: Доступ та аутентифікація

class AdminAuthController extends Controller
{
    public function login(Request $request)
    {
        if (!$this->verifyTotp($request->totp_code, auth()->user())) {
            abort(401, '2FA потрібна для відповідності PCI DSS');
        }
    }
}

2FA обов'язкова для доступу до CDE. Блокування після 6 невдалих спроб. Timeout сесії 15 хвилин.

Шлях до відповідності для типового інтернет-магазину

1. Перейти на Stripe/ЮKassa з iframe → SAQ A
2. Включити HTTPS всюди, TLS 1.2+
3. Квартальне сканування ASV
4. Заповнити SAQ A (22 питання)
5. Зареєструвати SAQ у еквайєра

Тривалість реалізації

  • SAQ A: переходод на iframe + базова настройка: 5–10 днів
  • Квартальне сканування ASV: автоматизований процес