PCI DSS – как и зачем получать сертификат соответствия

Главная страницаНовости Публикации

15/02/22

PCI DSS – как и зачем получать сертификат соответствия


Этот пост мы подготовили для тех, кто работает в сфере интернет-коммерции и планирует принимать (или уже принимает) платежи на собственном сайте. Мы расскажем о международном стандарте безопасности данных PCI DSS. Поговорим о его основных требованиях к информационной инфраструктуре, которая обеспечивает обработку и обеспечение безопасности данных банковских карт. Также мы рассмотрим основные причины прохождения сертификации и возможности, которые получает сертифицированная компания.

PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан международными платежными системами Visa и MasterCard. Любая организация, планирующая принимать и обрабатывать данные банковских карт на своем сайте, должна соответствовать требованиям PCI DSS. Подробнее на сайте Compliance control.

Существует 4 уровня сертификатов PCI DSS, которые в первую очередь отличаются максимально возможным количеством обрабатываемых транзакций:

Level 4 позволяет обрабатывать до 20 тыс. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное сканирование внешних адресов на наличие уязвимостей (ASV-сканирование) и заполнение листа самооценки (Annual Self-Assessment Questionnaire, SAQ)
Level 3 позволяет обрабатывать от 20 тыс. до 1млн. транзакций в год. Для прохождения сертификации требуется как ежеквартальное ASV-сканирование, так и заполнение листа самооценки (SAQ).
Level 2 позволяет обрабатывать от 1 млн. до 6 млн. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное ASV-сканирование и заполнение листа самооценки (SAQ). Однако, после 30 июня 2012 года для заполнения SAQ на этом уровне будет необходимо либо отправлять собственных сотрудников на специализированный тренинг, либо привлекать компанию-аудитора (PCI QSA).
Сертификация на соответствие требованиям PCI DSS Level 1 проводится только с привлечением независимого аудитора (QSA) и позволяет обрабатывать более 6 млн. транзакций в год. Процедура сертификации включает в себя обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту, консультационную поддержку при внедрении.


Мы ежегодно проходим сертификацию на соответствие требованиям стандарта PCI DSS. Для нас, как для процессингового центра, соответствие требованиям PCI DSS Level 1 является обязательным. Такое требование международные платежные системы (МПС) предъявляют к компаниям, предоставляющим услуги интернет-эквайринга.
Предприятия, реализующие товары или услуги через Интернет, проходят сертификацию на соответствие требованиям PCI DSS по ряду причин:

Конверсия. Компании опасаются потери части оплат при переходе из корзины на отдельную платежную страницу.
Имидж. Иногда крупные компании не хотят, чтобы для ввода данных банковской карты клиент переходил с сайта компании на сайт сторонней организации (банка или процессингового центра).
Технические задачи. Компании нужно построить собственную высокотехнологичную схему проведения платежей, ориентированную на специфику бизнеса.


Сертификация PCI DSS позволяет работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия. Это позволяет исключить переход покупателя на сайт сторонней организации. Кроме того, построение собственной платежной системы позволяет работать напрямую сразу с несколькими банками, «балансируя» между ними, и построить систему «каскадного» проведения платежей. При «каскадном» проведении платежа, его авторизация осуществляется последовательно в нескольких банках и процессинговых центрах, что позволяет значительно снизить процент отклоненных транзакций.

Но самостоятельная работа с банками дает компании не только преимущество в адаптации платежной системы «под себя». Она обязывает компанию взять на себя борьбу с мошенническими операциями при обработке данных банковских карт на своем сайте. Иными словами, компании необходимо построить собственную систему мониторинга и борьбы с мошенническими операциями (анти-фрод). Задача анти-фрод системы – фильтрация операций, определяемых как мошеннические, по ряду признаков (например, несовпадение банка-эмитента со страной оплаты или проживания плательщика).

На стадии построения и отладки анти-фрод системы много времени «съест» сбор и анализ данных об операциях по банковским картам. Цель сбора данных – выявление отличительных признаков мошеннических операций. В процессе сбора статистики компании придется столкнуться с большим объемом «charge-back» операций.

Построение собственной анти-фрод системы логично и финансово обосновано для компаний с большим оборотом платежей по банковским картам. Для таких компаний гибкость и полный контроль над системой фильтрации платежей являются критически важными. Плюс, у такой компании есть возможность выделить ресурсы на разработку и постоянное развитие технологий и инструментов собственного “мини процессингового центра”.

Стоит отметить, что в мониторинге рисков сложно найти лучшего поставщика услуг, чем процессинговый центр. Благодаря разнообразию и значительному количеству клиентов, ПЦ обладает обширной историей мониторинга и фильтрации. Даже если компания занимается построением собственной анти-фрод системы, она может отдавать на обработку в ПЦ транзакции, вызывающие сомнения у внутренних специалистов по рискам.

Для принятия взвешенного решения о выборе способа обработки данных банковских карт, необходимо оценивать все составляющие процесса от подачи документов до поддержки кардхолдеров. Для того чтобы принять решение было проще, мы провели сравнение двух основных подходов по приему и обработке данных банковских карт: если ввод данных осуществляется на стороннем сайте (например, ПЦ) – и если данные вводят на сайте предприятия с последующей авторизацией платежа в банке.




Комментарии

Чтобы оставить комментарий, необходимо войти или зарегистрироваться

Сейчас на сайте посетителей:2