💳
Xavfsizlik

PCI DSS — to'lov karta ma'lumotlari xavfsizligi standarti to'liq qo'llanma

22.03.2034
← Barcha maqolalar

PCI DSS to'liq nomi Payment Card Industry Data Security Standard bo'lib, u to'lov karta ma'lumotlarini qabul qiluvchi, qayta ishlovchi yoki saqlovchi har qanday tashkilot uchun majburiy standart hisoblanadi. Standart Visa, Mastercard, American Express, Discover va JCB tomonidan birgalikda ishlab chiqilgan. Bugungi kunda online do'kon ochmoqchi bo'lgan har bir tadbirkor bu standartning asoslarini bilishi kerak, aks holda hisob raqamlari yopib qo'yilishi mumkin.

Nima uchun PCI DSS kerak

Karta ma'lumotlari — bu kiberjinoyatchilar uchun eng qimmatli o'lja. Bitta karta raqami qora bozorda 5 dollardan 100 dollargacha sotiladi, korporativ ma'lumotlar to'plamlari esa minglab dollar turadi. PCI DSS aynan shu xavfni kamaytirish uchun yaratilgan. Standart 12 ta asosiy talabni o'z ichiga oladi: tarmoq xavfsizligi, ma'lumotlarni shifrlash, kirish nazorati, monitoring, muntazam testlar va xavfsizlik siyosati. Har bir talab bir nechta kichik nuqtalardan iborat va auditor tomonidan tekshiriladi.

To'rt darajadagi merchant'lar

PCI DSS savdogarlarni yillik tranzaktsiya hajmiga qarab to'rt darajaga bo'ladi. Level 1 — yiliga 6 milliondan ortiq tranzaktsiya, eng qattiq talablar va majburiy on-site audit. Level 2 — 1-6 million tranzaktsiya, soddalashtirilgan o'z-o'zini baholash. Level 3 — 20 ming dan 1 milliongacha e-commerce tranzaktsiyalari. Level 4 — eng kichik savdogarlar, yiliga 20 mingdan kam. O'zbekistondagi ko'pchilik online do'konlar Level 4 ga kiradi, lekin bu talablardan ozod degani emas.

SAQ — Self-Assessment Questionnaire

Kichik va o'rta savdogarlar uchun PCI DSS o'z-o'zini baholash anketasi taqdim etiladi. SAQ-A — agar barcha to'lovlar tashqi provayder orqali o'tsa va saytda hech qanday karta ma'lumoti kirilmasa. SAQ-A-EP — agar sayt yo'naltirish bilan ishlasa lekin to'lov sahifasini o'zi yetkazib bersa. SAQ-D — agar karta ma'lumotlari to'g'ridan-to'g'ri saytga kiritilsa. Sayt.uz tomonidan tavsiya etiladigan integratsiya odatda SAQ-A ga to'g'ri keladi, bu eng oson va xavfsiz variant.

Tokenizatsiya va P2PE

PCI DSS hajmini kamaytirishning eng yaxshi usuli — karta ma'lumotini umuman saqlamaslik. Tokenizatsiya texnologiyasi karta raqamini tasodifiy token bilan almashtiradi, asl raqam esa faqat to'lov provayderida qoladi. Point-to-Point Encryption (P2PE) esa karta swipe qilingan zahoti shifrlaydi va deshifrlash faqat oxirgi nuqtada amalga oshadi. Bu ikki texnologiya birgalikda PCI DSS auditining ko'p qismini chetlab o'tishga imkon beradi va xavfni keskin pasaytiradi.

Sayt.uz amaliyot

Sayt.uz to'lov shlyuzlari Payme, Click va Uzcard bilan to'g'ridan-to'g'ri integratsiya orqali ishlaydi, demak mijoz saytida hech qanday karta ma'lumoti saqlanmaydi. Bu o'z avtomatik ravishda PCI DSS Level 4 SAQ-A toifasiga to'g'ri keladi va mijoz audit talablarining 95 foizidan ozod bo'ladi. Sayt.uz infratuzilmasining o'zi Level 1 sertifikatiga ega, har yili tashqi auditorlar tomonidan tekshiriladi. 2026 yil ma'lumotlariga ko'ra, mijozlarimizning 1450 dan ortig'i to'lov modulidan foydalanmoqda, oylik to'lov modul aktivatsiya narxi 120 ming so'mdan boshlanadi.

O'xshash maqolalar

🔐 Parol menejerlar — Bitwarden, 1Password, LastPass va KeePass tanlovi 🍯 Honeypot — formada yashirin maydon, botlarni ushlaydi va spamni to'xtatadi 📄 /.well-known/security.txt — xavfsizlik bo'yicha bog'lanish standart 📋 GDPR moslik — Yevropa ma'lumotlarini himoya qilish majburiyatlari
🌐 Til
🇺🇿 O'zbek 🇺🇿 Ўзбек 🇷🇺 Русский 🇬🇧 English