Главная » Получить помощь » Часто задаваемые вопросы

Соответствие требованиям PCI-DSS и WooCommerce

Содержание
  1. Что такое PCI-DSS?
  2. Нужно ли соблюдать PCI-DSS?
  3. Рекомендуемые платёжные шлюзы
  4. Основные требования PCI-DSS
  5. Отчётность по соответствию
  6. WooCommerce и соответствие PCI-DSS

Что такое PCI-DSS?

Стандарт безопасности данных индустрии платёжных карт (PCI-DSS) — это набор практических требований, разработанный Советом по стандартам безопасности индустрии платёжных карт (PCI SSC). Его основная цель — обеспечить единый подход к защите данных по всему миру и снизить уровень мошенничества с банковскими картами.

Эти требования распространяются на всех, кто хранит, обрабатывает или передаёт данные держателей карт. Подробнее о PCI-DSS можно узнать в кратком справочном руководстве.

Нужно ли соблюдать PCI-DSS?

Если вы храните, обрабатываете или передаёте данные держателей карт (в соответствии с глоссарием PCI SSC), то требования PCI-DSS распространяются на вас.

Если вы используете платёжный шлюз, который обрабатывает платежи вне сайта или через встроенные (hosted) поля (например, Stripe, PayPal или WooPayments), ваш сайт не работает напрямую с полными данными карт. Однако, поскольку страница оформления заказа размещена на вашем сайте, требования PCI-DSS всё равно применяются, хотя их объём может быть значительно меньше.

Рекомендуемые платёжные шлюзы

WooPayments — один из лучших вариантов для приёма платежей с соблюдением PCI-DSS в поддерживаемых регионах. Подробнее о соответствии PCI в WooPayments.

Основные требования PCI-DSS

Существует 12 ключевых требований PCI-DSS:

ЦелиТребования PCI-DSS
Создание и поддержка безопасной сети и системУстановка и поддержка средств сетевой безопасности. Применение безопасных конфигураций ко всем компонентам системы.
Защита данных аккаунтовЗащита хранимых данных аккаунтов. Защита данных держателей карт при передаче по открытым сетям с использованием надёжного шифрования.
Управление уязвимостямиЗащита всех систем и сетей от вредоносного ПО. Разработка и поддержка безопасных систем и программного обеспечения.
Контроль доступаОграничение доступа к данным и системам по принципу необходимости. Идентификация пользователей и аутентификация доступа. Ограничение физического доступа к данным держателей карт.
Мониторинг и тестированиеВедение журналов и мониторинг доступа к системам и данным. Регулярное тестирование безопасности систем и сетей.
Политика информационной безопасностиПоддержка безопасности информации через политики и процессы внутри организации.

Обновлено: 6 июня 2025 года. Этот список отражает требования версии PCI DSS v4.0.1. Подробную информацию можно найти на сайте PCI SSC.

Отчётность по соответствию

Соответствие PCI-DSS обычно контролируется вашим платёжным провайдером. Он может попросить вас заполнить анкету самооценки (SAQ) или пройти проверку у утверждённого поставщика сканирования (ASV).

WooCommerce и соответствие PCI-DSS

Ответственность за соблюдение PCI-DSS лежит на владельце магазина. Сам плагин WooCommerce не сертифицирован по PCI, так как не обрабатывает и не хранит данные банковских карт напрямую. Однако как только вы начинаете принимать платежи — даже через защищённые шлюзы вроде WooPayments — ваш сайт попадает под требования PCI-DSS.

Соответствие можно обеспечить с помощью безопасного хостинга, соблюдения рекомендаций по безопасности и использования платёжных шлюзов, соответствующих PCI-DSS.

Многие требования PCI касаются не только сайта, но и всей инфраструктуры: хостинга, используемых плагинов, политики доступа пользователей, обновлений и проверок безопасности.

Обратите внимание на следующие моменты:

  1. Настройте межсетевой экран совместно с хостингом или администратором.
  2. Используйте надёжные пароли и безопасную среду хостинга.
  3. WooCommerce не хранит данные карт, а официальные платёжные шлюзы сохраняют только частичные данные (например, последние 4 цифры).
  4. Используйте SSL для страницы оформления заказа и убедитесь, что хостинг его поддерживает.
  5. Уточните у хостинга наличие защиты от вредоносного ПО.
  6. Используйте роли WordPress и соблюдайте рекомендации по безопасности.
  7. Отслеживайте действия администраторов и ограничивайте доступ к важным разделам.
  8. Обеспечьте безопасное хранение и доступ к данным вместе с разработчиком или хостингом.
  9. Используйте ASV, если этого требует платёжный провайдер.
  10. Разработайте внутреннюю политику PCI-DSS и регулярно оценивайте риски.

Если вы хотите соответствовать PCI-DSS, начните с:

  • Выбора безопасного хостинга, учитывающего требования PCI.
  • Использования надёжных паролей и ограничения доступа к админке.
  • Никогда не храните данные банковских карт на сервере.
  • Используйте SSL для защиты страниц оформления заказа и аккаунта.
  • Регулярно обновляйте плагины, темы, WordPress и WooCommerce.
  • Проводите регулярное сканирование сайта через ASV.
Поделиться с друзьями
Документация WooCommerce
© 2026 Документация WooCommerce
Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.