Cтандарт PCI DSS

Безпека електронних платежів — це перше, що необхідно вирішити для залучення кредитоспроможних користувачів у онлайн сферу. Покупець повинен бути спокійним за свої кошти в інтернеті.

Якщо вимоги стандарту не дотримано, жоден платіжний сервіс чи інтернет-магазин не можуть повноцінно працювати.

Який саме сертифікат необхідний, для чого створений та які задачі вирішує, розберемося у цій статті. 

Що таке PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) — це стандарт безпеки, обов’язковий у сфері операцій, що проводяться платіжними картками. Якщо сертифікація PCI DSS не пройдена, обробляти платежі не можна. 

 Клієнти не зможуть заплатити на сайті банківською карткою, якщо процесинговий центр чи платіжний шлюз не отримали PCI DSS і нехтує базовими правилами захисту особистих даних користувача.

Гіганти МПС (міжнародних платіжних систем) MasterCard Worldwide, Visa International, Discover, JCB та American Express прийняли єдиний стандарт безпеки електронних платежів. Він застосовується до всіх організацій, діяльність яких може впливати на безпеку використання банківських карток.

Постійні оновлення та вдосконалення стандарту для великих організацій та підприємців дозволяє кожному сумісному ресурсу приєднатися до глобальної боротьби за безпеку даних та коштів покупців.

Це єдине рішення, яке стосується:

  • Всіх установ, які використовують міжнародну систему обробки платежів.
  • Постачальників POS-терміналів.
  • Фінансових компаній.
  • Будь-яких установ, які продають товари чи послуги.

Аутентифікація навіть одного власника картки в системі зобов’язує компанію пройти сертифікацію. І проходити її необхідно щорічно.

Вимоги стандарту

Організація, яка не відповідає цим вимогам, ризикує втратити дозвіл на обслуговування клієнтів за допомогою банківських карток, а цей сегмент споживачів величезний та стабільно зростає.

Які вимоги пред’являє до підприємців стандарт PCI DSS:

  • Ведеться запис всіх дій з карткою.
  • Компанія відповідає за конфігурацію та контроль інформаційної бази.
  • Компанія контролює безпеку даних та інструментів верифікації користувача.
  • Своєчасне оновлення та підтримка всіх систем, їх власна розробка в межах ресурсу та постійна підтримка.
  • Обчислювальна мережа повинна бути надійно захищена.
  • Безпечно зберігати дані клієнтів.
  • Забезпечення безпечної передачі даних клієнтів та надійне шифрування інформації.
  • Регулярне оновлення захисту від вірусів та перевірка на вразливість всіх інфосистем.

Це вимоги верхнього рівня стандарту, є й інші.

Рівні сертифікації

Всього є чотири категорії, які відрізняються кількістю операцій за один рік.

4 рівень. Наявність до 20 тисяч переказів на рік. Щоб відповідати вимогам стандарту, доведеться кожен квартал проходити перевірку на безпеку посилань (AVS-сканування) та заповнювати лист самооцінки компанії.

3 рівень. Від 20 тисяч до мільйона грошових операцій на рік. Вимоги ті самі.

2 рівень. Від одного до шести мільйонів транзакцій на рік. До стандартних вимог додаються наступні: персонал повинен пройти спеціальний навчальний курс з безпеки, або аудитор повинен перевірити кваліфікацію працівників.

1 рівень. Комерція, коли проводиться більше шести мільйонів транзакцій на рік. Сертифікат доступний лише після перевірки незалежним аудитором. Проводиться ретельне вивчення інфраструктури компанії, видаються нормативні документи та рекомендації до впровадження.

Відповідність PCI DSS сайту Oplata.com

Які ресурси зобов’язані забезпечувати безпеку відповідно до міжнародного стандарту, можна розглянути на прикладі сайту Oplata.com.

Сайт дозволяє проводити різноманітні операції з банківськими картками: переказувати кошти на іншу картку, оплачувати послуги постачальників, жертвувати на благодійність та багато іншого.

Його поле діяльності — вся Україна, та тут можна поповнити рахунок мобільного телефону, оплатити комунальні послуги, інтернет.

Платник вводить стандартні дані для оплати  — номер картки, термін дії та код CVV. Інформація про платіж доступна одразу після транзакції та додатково дублюється на електронну пошту.

Для зареєстрованих користувачів доступно більше можливостей, але будь-який гість, власник банківської картки може користуватися послугами сервісу  — на безпеку операцій реєстрація не впливає.

Тільки відповідність міжнародним стандартам безпеки та регулярне удосконалення всіх систем, дають можливість працювати таким ресурсам.