и трояны), используя его для кражи платежных данных. В результате 15 декабря 2004 года появился Payment Card Industry Data Security Standard (PCI DSS), стандарт безопасности данных в индустрии платежных карт. Этот день в истории информационной безопасности считается знаменательным – был принят первый унифицированный стандарт безопасности, поддерживаемый пятью крупнейшими карточными брендами. Соответствие стандарту стало обязательным для торговых точек и других организаций, участвующих в цикле обработки платежей.
В июне 2005 года было решено, что отныне все торговые точки, обрабатывающие более 20 тысяч транзакций по картам в год, должны соответствовать стандарту PCI DSS. Но несмотря на то, что неуклонно растущее число торговых точек выделяло все больше IT-ресурсов на приведение в соответствие стандарту, многие из них не успевали сделать это в срок.
6 сентября 2006 года был выпущен стандарт PCI DSS1.1. Самым значительным добавлением к первой редакции стандарта стало требование 6.6, гласившее, что весь исходный код приложений надлежит профессионально исследовать на наличие уязвимостей (причем делать это следует с привлечением независимых специалистов). Кроме того, файруолл для веб-приложений должен быть установлен перед самим веб-приложением. Другими словами, перед тем, как пакет данных поступит в приложение, он должен пройти через файруолл, где будет исследован и, в случае опасности, отклонен. В этот же период пять основных мировых карточных брендов, Visa, MasterCard, American Express, JCB и Discover, объявили о создании независимой группы – совета по стандартам безопасности PCI, PCI Security Standards Council (PCI SCC), которой предстояло развивать стандарт безопасности в дальнейшем.
В 2008 году появился новый стандарт безопасности данных платежных приложений – Payment Application Data Security Standard PA-DSS. Совет PCI SSC анонсировал PA-DSS. Базируясь на лучших практиках Visa, новая дочка PCI DSS была создана в помощь разработчикам программного обеспечения для создания защищенных платежных приложений, которые не сохраняют критичные данные (данные с магнитной полосы, CVV2 и PIN-код).
1 октября 2008 года был выпущен PCI DSS версии 1.2. Основные его нововведения включили в себя обновленные требования для защиты беспроводных сетей Wi-Fi 802.1x и установку антивирусов для всех операционных систем. Стандарт PCI DSS2.0 увидел свет двумя годами позже, в октябре 2010 года. Версия 3.0 появилась в ноябре 2013 года.