Как стать автором
Обновить
0
PayOnline
Система электронных платежей

PCI DSS – как и зачем получать сертификат соответствия

Время на прочтение 7 мин
Количество просмотров 91K
Привет, %username%!
Этот пост мы подготовили для тех, кто работает в сфере интернет-коммерции и планирует принимать (или уже принимает) платежи на собственном сайте. Мы расскажем о международном стандарте безопасности данных PCI DSS. Поговорим о его основных требованиях к информационной инфраструктуре, которая обеспечивает обработку и обеспечение безопасности данных банковских карт. Также мы рассмотрим основные причины прохождения сертификации и возможности, которые получает сертифицированная компания.

PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан международными платежными системами Visa и MasterCard. Любая организация, планирующая принимать и обрабатывать данные банковских карт на своем сайте, должна соответствовать требованиям PCI DSS.

Существует 4 уровня сертификатов PCI DSS, которые в первую очередь отличаются максимально возможным количеством обрабатываемых транзакций:
  • Level 4 позволяет обрабатывать до 20 тыс. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное сканирование внешних адресов на наличие уязвимостей (ASV-сканирование) и заполнение листа самооценки (Annual Self-Assessment Questionnaire, SAQ)
  • Level 3 позволяет обрабатывать от 20 тыс. до 1млн. транзакций в год. Для прохождения сертификации требуется как ежеквартальное ASV-сканирование, так и заполнение листа самооценки (SAQ).
  • Level 2 позволяет обрабатывать от 1 млн. до 6 млн. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное ASV-сканирование и заполнение листа самооценки (SAQ). Однако, после 30 июня 2012 года для заполнения SAQ на этом уровне будет необходимо либо отправлять собственных сотрудников на специализированный тренинг, либо привлекать компанию-аудитора (PCI QSA).
  • Сертификация на соответствие требованиям PCI DSS Level 1 проводится только с привлечением независимого аудитора (QSA) и позволяет обрабатывать более 6 млн. транзакций в год. Процедура сертификации включает в себя обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту, консультационную поддержку при внедрении.

Мы ежегодно проходим сертификацию на соответствие требованиям стандарта PCI DSS. Для нас, как для процессингового центра, соответствие требованиям PCI DSS Level 1 является обязательным. Такое требование международные платежные системы (МПС) предъявляют к компаниям, предоставляющим услуги интернет-эквайринга.
Предприятия, реализующие товары или услуги через Интернет, проходят сертификацию на соответствие требованиям PCI DSS по ряду причин:
  • Конверсия. Компании опасаются потери части оплат при переходе из корзины на отдельную платежную страницу.
  • Имидж. Иногда крупные компании не хотят, чтобы для ввода данных банковской карты клиент переходил с сайта компании на сайт сторонней организации (банка или процессингового центра).
  • Технические задачи. Компании нужно построить собственную высокотехнологичную схему проведения платежей, ориентированную на специфику бизнеса.

Сертификация PCI DSS позволяет работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия. Это позволяет исключить переход покупателя на сайт сторонней организации. Кроме того, построение собственной платежной системы позволяет работать напрямую сразу с несколькими банками, «балансируя» между ними, и построить систему «каскадного» проведения платежей. При «каскадном» проведении платежа, его авторизация осуществляется последовательно в нескольких банках и процессинговых центрах, что позволяет значительно снизить процент отклоненных транзакций.

Но самостоятельная работа с банками дает компании не только преимущество в адаптации платежной системы «под себя». Она обязывает компанию взять на себя борьбу с мошенническими операциями при обработке данных банковских карт на своем сайте. Иными словами, компании необходимо построить собственную систему мониторинга и борьбы с мошенническими операциями (анти-фрод). Задача анти-фрод системы – фильтрация операций, определяемых как мошеннические, по ряду признаков (например, несовпадение банка-эмитента со страной оплаты или проживания плательщика).

На стадии построения и отладки анти-фрод системы много времени «съест» сбор и анализ данных об операциях по банковским картам. Цель сбора данных – выявление отличительных признаков мошеннических операций. В процессе сбора статистики компании придется столкнуться с большим объемом «charge-back» операций.

Построение собственной анти-фрод системы логично и финансово обосновано для компаний с большим оборотом платежей по банковским картам. Для таких компаний гибкость и полный контроль над системой фильтрации платежей являются критически важными. Плюс, у такой компании есть возможность выделить ресурсы на разработку и постоянное развитие технологий и инструментов собственного “мини процессингового центра”.

Стоит отметить, что в мониторинге рисков сложно найти лучшего поставщика услуг, чем процессинговый центр. Благодаря разнообразию и значительному количеству клиентов, ПЦ обладает обширной историей мониторинга и фильтрации. Даже если компания занимается построением собственной анти-фрод системы, она может отдавать на обработку в ПЦ транзакции, вызывающие сомнения у внутренних специалистов по рискам.

Для принятия взвешенного решения о выборе способа обработки данных банковских карт, необходимо оценивать все составляющие процесса от подачи документов до поддержки кардхолдеров. Для того чтобы принять решение было проще, мы провели сравнение двух основных подходов по приему и обработке данных банковских карт: если ввод данных осуществляется на стороннем сайте (например, ПЦ) – и если данные вводят на сайте предприятия с последующей авторизацией платежа в банке.

Ввод данных банковской карты осуществляется на сайте предприятия с последующей авторизацией платежей (например в банке) Ввод данных банковской карты осуществляется на стороннем сайте (например на защищенной платежной странице ПЦ)
PCI DSS Прохождение сертификации на соответствие требованиям PCI DSS обязательно. Прохождение сертификации не обязательно.
Подключение Для приема платежей напрямую, необходимо самостоятельно подключиться к банку. Решение банка зависит, в том числе, от оборота компании. Для подключения необходимо передать пакет документов личному менеджеру, который будет взаимодействовать с банком и заниматься подготовкой договора.
Комиссия Комиссия, взимаемая банком за обработку платежей, составляет от 2% от суммы транзакции и зависит от объема оборота и сферы деятельности компании. Процент комиссии, полученный клиентом от банка напрямую, зачастую равен проценту, предоставляемому ПЦ. Это связано с “оптовыми” условиями работы для ПЦ и высоким уровнем надежности мониторинга транзакций, в котором заинтересован банк. Комиссия, взимаемая ПЦ за обработку платежей и комплекс дополнительных услуг, составляет от 2,5% от суммы транзакции и зависит от объема оборота и сферы деятельности компании.
Бухгалтерия Взаимодействием с банком по вопросам бухгалтерской отчетности и проведением платежей компания занимается самостоятельно. Для составления отчетов требуется активная работа с банком и построение собственной биллинговой системы. Биллинговая система ПЦ предоставляет клиентам возможность производить online-учет осуществленных транзакций. Возможность самостоятельно выгружать бухгалтерские документы (акт, детализированная выписка системы PayOnline, счет) в интерфейсе личного кабинета.
Поддержка плательщиков Для оказания квалифицированной поддержки плательщиков необходимо организовать собственный Call-центр или покупать услуги стороннего (от 25 000 руб. /мес. за работу специалиста). Если у Вас уже есть Call-центр, необходимо провести дополнительную обучение специалистов для работы с держателями карт. Также требуется построение инфраструктуры Call-центра: софт, телефония. Поддержка держателей карт, совершающих платежи в Вашем интернет-магазине, осуществляется специалистами Call-центра ПЦ.
Мониторинг транзакций Мониторинг транзакций должен осуществляться штатными квалифицированными специалистами предприятия e-commerce, обрабатывающего данные банковских карт. Заработная плата специалиста по рискам — от 35 000 руб. / мес. Мониторинг транзакций, с том числе программный, осуществляется специалистами департамента рисков ПЦ.
Железо Требуются вложения в серверную часть, необходимые для прохождения сертификации и обеспечения достаточного уровня безопасности. Сумма зависит от Level-a сертификата и предполагаемой инфраструктуры. Вам не требуются дополнительные расходы на развитие серверной части, так как обработка транзакций происходит на защищенных серверах ПЦ.
Разработка Для организации самостоятельного приема платежей необходима разработка или покупка биллинговой системы, в том числе сервисов безопасной передачи данных в банк, безопасных форм приема платежей, дополнительных интерфейсов. Требуется постоянная работа специалиста высокой квалификации стоимостью не менее 65000 руб. / мес. Для подключения к ПЦ требуется единоразовое привлечение разработчика для внедрения платежной формы на сайт компании. При необходимости, брендированая платежная форма разрабатывается специалистами ПЦ.
Прием платежей на сайте (без перехода на сторонний ресурс) Вы обрабатываете данные банковских карт на сайте без перехода на сторонний ресурс. Возможна реализация приема платежей без прямого перехода на сайт ПЦ с использованием технологии IFrame.


Таким образом, если компания собирается пройти сертификацию на соответствие PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования стандарта PCI DSS. Они охватывают безопасность на уровне сетей, оборудования, приложений, баз данных, физических хранилищ, документирования и управления процессами. И, как уже говорилось выше, построение анти-фрод системы и биллинговой системы, задача непростая и длительная в реализации, также выполняется компанией самостоятельно.

К компаниям, работающим только с платёжным шлюзом и не принимающих на своем данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ). Они касаются сайта предприятия e-commerce, корректности контента и ценовых предложений, организационной формы компании.

Если после прочтения этого поста у Вас появились вопросы – пишите в комментарии. Со стороны аудитора и специалиста по требованиям стандарта PCI DSS Вас проконсультирует Евгений Безгодов aka Bezgodov, исполнительный директор компании Deiteriy, CISA, PCI QSA. Со стороны платежного шлюза как всегда на связи специалисты процессингового центра PayOnline.
Теги:
Хабы:
0
Комментарии 11
Комментарии Комментарии 11

Публикации

Информация

Сайт
www.payonline.ru
Дата регистрации
Дата основания
Численность
51–100 человек
Местоположение
Россия

Истории