Полное название PCI DSS — Payment Card Industry Data Security Standard. Это обязательный стандарт для любой организации, которая принимает, обрабатывает или хранит данные платёжных карт. Стандарт совместно разработан Visa, Mastercard, American Express, Discover и JCB. Сегодня каждый предприниматель, открывающий онлайн-магазин, должен знать его основы — иначе расчётные счета могут быть заблокированы.
Зачем нужен PCI DSS
Данные карт — самая ценная добыча для киберпреступников. Один номер карты на чёрном рынке стоит от 5 до 100 долларов, корпоративные дампы — тысячи долларов. PCI DSS создан именно для снижения этого риска. Стандарт включает 12 ключевых требований: сетевая безопасность, шифрование данных, контроль доступа, мониторинг, регулярное тестирование и политика безопасности. Каждое требование состоит из подпунктов и проверяется аудитором.
Четыре уровня мерчантов
PCI DSS делит продавцов на четыре уровня по годовому объёму транзакций. Level 1 — свыше 6 миллионов транзакций в год, самые жёсткие требования и обязательный on-site аудит. Level 2 — от 1 до 6 миллионов, упрощённая самооценка. Level 3 — e-commerce от 20 тысяч до 1 миллиона. Level 4 — самые мелкие продавцы, до 20 тысяч в год. Большинство онлайн-магазинов в Узбекистане попадают в Level 4, но это не освобождает от требований.
SAQ — анкета самооценки
Для малых и средних продавцов предусмотрена анкета самооценки. SAQ-A — если все платежи идут через внешний провайдер и на сайте не вводятся данные карт. SAQ-A-EP — если сайт работает с редиректом, но сам отдаёт страницу оплаты. SAQ-D — если данные карт вводятся прямо на сайте. Интеграция, рекомендуемая Sayt.uz, обычно подпадает под SAQ-A — это самый простой и безопасный вариант.
Токенизация и P2PE
Лучший способ уменьшить объём PCI DSS — вообще не хранить данные карты. Токенизация заменяет номер карты случайным токеном, а реальный номер остаётся только у платёжного провайдера. Point-to-Point Encryption шифрует данные карты сразу после считывания, расшифровка происходит только в конечной точке. Эти две технологии позволяют обойти большую часть аудита и резко снизить риск.
Практика Sayt.uz
Платёжные шлюзы Sayt.uz работают напрямую с Payme, Click и Uzcard — на сайте клиента не сохраняется ни одного байта данных карты. Это автоматически попадает под PCI DSS Level 4 SAQ-A и освобождает клиента от 95 процентов аудиторских требований. Инфраструктура Sayt.uz имеет сертификат Level 1 и ежегодно проверяется внешними аудиторами. По данным 2026 года, более 1450 наших клиентов пользуются платёжным модулем, ежемесячная активация модуля начинается от 120 тысяч сум.