Главная » Журнал » Журнал » PCI DSS для ритейлера: не роскошь, но конкурентное преимущество
18.07.2013, 10:32
Количество просмотров

PCI DSS для ритейлера: не роскошь, но конкурентное преимущество

Стандарт PCI DSS
  
Сначала напомним о том, что же представляет собой данный стандарт. Объектом его действия является каждая организация, которая хранит, обрабатывает или передает данные держателей платежных карт. Стандарт разработан пятью международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Требования PCI DSS обязаны выполнять офлайн- и онлайн-магазины, банки, платежные шлюзы, процессинговые центры и т. п. Развитием стандарта занимается специально созданная перечисленными платежными системами некоммерческая организация – Совет PCI SSC. Требования стандарта сфокусированы на обеспечении конфиденциальности данных держателей карт. Актуальность защиты данных обеспечивается за счет непрерывного мониторинга и регулярного аудита. Любая организация, деятельность которой регламентируется стандартом, обязана ежегодно подтверждать соответствие PCI DSS. При этом существует несколько способов подтверждения: заполнение листа самооценки SAQ, выполнение внутреннего ISA-аудита и прохождение внешнего QSA-аудита.
PCI DSS для ритейлера: не роскошь, но конкурентное преимущество
Фото:

Сегодня позиции стандарта безопасности PCI DSS среди российских поставщиков услуг и ТСП значительно укрепились. Это отражается статистическими показателями, а также рядом отдельных значимых событий, о которых читателям R&L рассказывает Евгений Безгодов, исполнительный директор, CISA, PCI QSA компании «Дейтерий»

Евгений Безгодов, исполнительный директор, CISA, PCI QSA компании «Дейтерий»

Стандарт PCI DSS
Сначала напомним о том, что же представляет собой данный стандарт. Объектом его действия является каждая организация, которая хранит, обрабатывает или передает данные держателей платежных карт. Стандарт разработан пятью международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Требования PCI DSS обязаны выполнять офлайн- и онлайн-магазины, банки, платежные шлюзы, процессинговые центры ит. п. Развитием стандарта занимается специально созданная перечисленными платежными системами некоммерческая организация – Совет PCI SSC. Требования стандарта сфокусированы на обеспечении конфиденциальности данных держателей карт. Актуальность защиты данных обеспечивается за счет непрерывного мониторинга и регулярного аудита. Любая организация, деятельность которой регламентируется стандартом, обязана ежегодно подтверждать соответствие PCI DSS. При этом существует несколько способов подтверждения: заполнение листа самооценки SAQ, выполнение внутреннего ISA-аудита и прохождение внешнего QSA-аудита.

Популярность растет, «уклоняться» становится невыгодно
Уже в течение полутора лет компания «Дейтерий» регулярно собирает по СНГ информацию о количестве сертифицированных банков, платежных шлюзов и дата-центров. Прирост внушительный – с весны 2012-го до весны 2013 г. число сертифицированных банков увеличилось на 60%, платежных шлюзов на 45%, дата-центров на 50%. И это не считая роста торгово-сервисных предприятий, многие из которых пока не раскрывают информацию о пройденном подтверждении, поскольку не привыкли преподносить соответствие PCI DSS как конкурентное преимущество. И, возможно, совсем напрасно! Те же полтора года «Дейтерий» проводит ежеквартальные обучающие семинары – PCI DSS Training, в рамках которых сотрудники любых заинтересованных компаний проходят бесплатное обучение по всем вопросам внедрения и поддержания соответствия PCI DSS. За это время проведено 7 семинаров в Москве и Санкт-Петербурге, на которых обучались 136 человек из 96 организаций – банков, платежных шлюзов, дата-центров, интеграторов и торгово-сервисных предприятий. Средняя доля представителей ТСП на наших семинарах составляет 30%.

С начала 2012 г. мы как сертифицированная компания QSA-аудитор наблюдаем всплеск числа обращений по поводу внедрения и подтверждения соответствия PCI DSS именно от торгово-сервисных предприятий. Мы прогнозировали этот всплеск заранее (см. «ПЛАС» № 12 (176), 2011 с. 6, «PCI DSS в 2011 году: количество переходит в качество»). Он связан с тем, что к началу 2012 г. в России набралась своего рода «критическая масса» по количеству сертифицированных банков-эквайеров и платежных шлюзов, которые начали все более настойчиво требовать соответствия от мерчантов. Самые частые обращения сегодня звучат так:
• «Наш интернет-магазин хочет принимать банковские карты к оплате. Однако банк-эквайер заявил, что нужно предоставить ему документ от аудитора по стандарту PCI DSS».
• «Мы наблюдаем большое количество незавершенных покупок из-за перенаправления покупателя на страницу платежного шлюза для проведения оплаты. Хотим принимать карточные данные прямо на своем сайте – но банк объяснил, что для этого нужен как минимум документ от аудитора».
• «Мы хотим, чтобы постоянный покупатель не вводил при каждой покупке номер карты заново. Нам необходимо хранить номера карт. Банк требует подтверждение соответствия PCI DSS».
Это лишь некоторые из причин, по которым к нам обращаются участники платежного рынка. Есть также вопросы независимости мерчанта от отдельно взятого банка-эквайера или платежного шлюза, снижения размера комиссии за проведение транзакции, проведения повторяющихся платежей и многие другие потребности, для удовлетворения которых может потребоваться соответствие PCI DSS.

Драйвером выступают и отдельные действия регуляторов отрасли – как российских, так и международных. Заказ официального перевода PCI DSS и листов самооценки SAQ на русский язык, который инициирован Банком России и выполняется Советом PCI SSC, вместе с планами Банка России по созданию единого центра обработки платежных транзакций на территории России, свидетельствует о возможной скорой интеграции требований международных платежных систем в российскую регулятивную среду.

Будущая совместная деятельность некоммерческого партнерства «Сообщество пользователей стандартов по информационной безопасности АБИСС» и Совета PCI SSC по продвижению стандарта на рынке стран СНГ, планирование которой активно обсуждается в настоящее время, станет залогом того, что количество и качество профессионалов, способных обеспечивать и поддерживать соответствие требованиям PCI DSS, в нашем регионе будет значительно увеличиваться. О возросшем интересе международных платежных систем к России и странам СНГ свидетельствует также недавний визит директора европейского подразделения Совета PCI SSC Джереми Кинга в Москву в ходе 4-го Международного ПЛАС-Форума «Дистанционные сервисы, карты и платежи 2013», где он выступил с докладом и провел ряд встреч с представителями отрасли.

- рис.1
Директор европейского подразделения Совета PCI SSC Джереми Кинг на 4-м Международном ПЛАС-Форуме «Дистанционные сервисы, карты и платежи 2013»

Как подтвердить соответствие
Для того чтобы выбрать подходящий способ подтверждения соответствия, нужно решить, к какому из двух основных типов, определяемых стандартом PCI DSS, относится ваша организация – торгово-сервисное предприятие или поставщик платежных услуг. К первому типу относятся все, кто продает товары или услуги и принимает в оплату от покупателей банковские карты, – магазины, рестораны, отели, автозаправочные станции, парковки. Ко второму – все те, кто обеспечивает процесс оплаты, – банки, платежные шлюзы, сами международные платежные системы, хостинг-провайдеры и прочие организации.

Если ваша компания – поставщик платежных услуг, то граница между первым и вторым уровнем (Level 1 и Level 2), установленная как Visa, так и MasterCard, равняется 300 000 карточных транзакций в год. Если ежегодное количество транзакций или общее количество хранимых в базе данных номеров карт превышает 300 000 единиц, то это первый уровень, и надо приглашать аудиторскую компанию, обладающую статусом PCI QSA для прохождения внешнего QSA-аудита. Если количество транзакций меньше – то достаточно заполнить лист самооценки SAQ типа D и предоставить обслуживающему банку-эквайеру.

Если подтвердить соответствие нужно торгово-сервисному предприятию, то для него предусмотрено четыре уровня соответствия PCI DSS. Но для простоты опять-таки надо помнить всего лишь одну цифру – 1 млн транзакций в год. Если магазин обрабатывает более 1 млн транзакций в год, то он относится к первому или второму уровню и должен ежегодно проходить внешний QSA- или внутренний ISA-аудит. Если годовое суммарное количество транзакций меньше 1 млн, то это третий или четвертый уровень, тогда будет достаточно заполнить лист самооценки SAQ, тип которого выбирается исходя из способа обработки карт. Определяющим критерием здесь является хранение номеров карт в информационных системах магазина. Если магазин хранит карточные данные, то это SAQ D. Если только передает через свои системы и не хранит – SAQ C. Если передает поставщику услуг исключительно по телефонной линии – SAQ B. Ну а если это торгово-сервисное предприятие, которое выполняет только card-not-present транзакции и полностью отдало обработку карточных данных на аутсорсинг сертифицированному поставщику услуг и не принимает участия даже в их передаче, тогда к нему применим самый простой лист самооценки SAQ A (см. табл.)

- рис.2

Стоит отметить, что ответственность за безопасность карточных данных, обрабатываемых мерчантом, перед международными платежными системами всегда несет банк-эквайер. Именно он определяет требования к подтверждению соответствия мерчанта и может как повысить, так и понизить эти требования, выбрав и потребовав один из способов подтверждения. Заполнить любой лист самооценки можно самостоятельно или с помощью QSA-аудитора. При этом, как показывает практика, документы, заверенные QSA-аудитором, банки принимают с большим доверием.
Рубрика:
{}
Теги: