Cтандарт PCI DSS

Безопасность электронных платежей — это первое, что надо было решить для привлечения кредитоспособных пользователей в сферу онлайн. Покупатель должен быть спокоен за свои деньги в интернете.

Теперь, если требования стандарта не соблюдены, никакой платежный сервис или интернет-магазин не сможет полноценно работать.

Какой сертификат необходим, для чего создан и какие задачи решает, разберемся в этой статье.

Что такое PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) — это стандарт безопасности, обязательный в сфере операций, проводимых с платежными картами. Обрабатывать платежи нельзя, если сертификация PCI DSS не пройдена.

Клиенты не смогут заплатить на сайте банковской картой, если процессинговый центр или платежный шлюз не удосужился получить сертификат PCI DSS и защитить личные данные пользователя от перехвата киберпреступниками.

Гиганты МПС (международных платежных систем) MasterCard Worldwide, Visa International, Discover, JCB и American Express приняли единый стандарт безопасности электронных платежей. Он применяется ко всем организациям, деятельность которых может влиять на безопасность использования банковских карт.

Постоянные обновления и усовершенствования стандарта для крупных организаций и мелких торговцев позволяют каждому совместимому ресурсу присоединиться к глобальной борьбе за сохранность данных платежных средств.

Это единое решение, которое касается:

  • Всех учреждений, которые используют международную систему обработки платежей.
  • Поставщиков POS-терминалов.
  • Финансовых компаний.
  • Любых учреждений, которые продают товары или услуги.

Аутентификация даже одного держателя карты в системе обязывает компанию пройти сертификацию. И проходить ее надо ежегодно.

Требования стандарта

Организация, которая не соответствует этим требованиям, рискует потерять разрешение на обслуживание клиентов с помощью банковских карт, а этот сегмент потребителя огромен и стабильно растет.

Какие требования предъявляет к предпринимателям стандарт PCI DSS:

  • Ведется запись всех действий с картой.
  • Компания отвечает за конфигурацию и контроль информационной базы.
  • Компания контролирует безопасность данных и инструментов верификации пользователя.
  • Своевременное обновление и поддержка всех систем, их собственная разработка в рамках ресурса и постоянная поддержка.
  • Вычислительная сеть должна быть надежно защищена.
  • Безопасно хранить данные клиентов.
  • Обеспечение безопасной передачи данных клиентов и надежное шифрование информации.
  • Регулярное обновление защиты от вирусов и проверка на уязвимость всех инфосистем.

Это требования верхнего уровня стандарта, есть и другие.

Уровни сертификации

Всего есть четыре категории, которые ограничиваются количеством операций за один год.

4 уровень. Наличие до 20 тысяч переводов в год. Чтобы соответствовать требованиям стандарта, придется каждый квартал проходить проверку на безопасность ссылок (ASV-сканирование) и заполнять лист самооценки компании.

3 уровень. От 20 тысяч до миллиона денежных операций в год. Требования те же.

2 уровень. От одного до шести миллионов транзакций в год. К стандартным требованиям добавляются следующие: персонал должен пройти специальный обучающий курс по безопасности, либо аудитор должен подтвердить квалификацию сотрудников.

1 уровень. Коммерция, когда проводится более шести миллионов транзакций в год. Сертификат доступен только после проверки независимым аудитором. Проводится тщательное изучение инфраструктуры компании, выдаются нормативные документы и рекомендации к внедрению.

Соответствие PCI DSS сайта Oplata.com

Какие ресурсы обязаны обеспечивать безопасность в соответствии с международным стандартом, можно рассмотреть на примере сайта Oplata.com.

Сайт позволяет проводить различные операции с банковскими картами: переводить деньги на другую карту, оплачивать услуги поставщиков, жертвовать на благотворительность и многое другое.

Его поле деятельности — вся Украина, и здесь можно пополнить счет мобильного телефона, оплатить коммунальные услуги, интернет.

Плательщик вводит стандартные данные для оплаты — номер карты, срок действия и код CVV. Информация о платеже доступна сразу после транзакции и дополнительно дублируется на электронную почту.

Для зарегистрированных пользователей доступно больше возможностей, но любой гость, держатель банковской карты, может воспользоваться услугами сервиса — на безопасность операций регистрация не влияет.

Только соответствие международным требованиям безопасности и регулярное совершенствование всех систем, дают возможность работать таким ресурсам.