Pull to refresh

Comments 11

Уточнение по вопросу сертификации интернет-магазинов по PCI DSS.

Согласно Стандарту и правилам международных платёжных систем (VISA, MasterCard), соответствовать стандарту и ежегодно подтверждать своё соответствие должны все интернет-магазины, принимающие карты к оплате.
Использование услуг платёжного шлюза не избавляет от этой обязанности, но на порядок облегчает её выполнение, сокращая число применимых требований стандарта с почти 300 до 13.
Интересно, сколько интернет-магазинов в России, принимающих карты, имеют сертификат соответствия PCI DSS?
Пока это немногие магазины. Внедрение PCI DSS начиналось с банков и платёжных шлюзов, множество из которых уже сертифицированы по PCI DSS. Сейчас наблюдается рост интереса к стандарту среди интернет-магазинов. Обычно люди обращаются, когда получают запрос подтверждения соответствия от своего банка.
такой вопрос, вот вы пишете «Возможна реализация приема платежей без прямого перехода на сайт ПЦ с использованием технологии IFrame.» а не боитесь, что мерчант зарегистрировав один, «белый» сайт будет проводить платежи с другого, хайриск сайта. реферера ведь не отследить. а вам потом с чарджбеками разбираться?
Нет, не боимся, URLReferrer не сильно помогает в предотвращении мошенничества.
Можно и без iframe подключить один сайт «A», а реально принимать платежи с другого сайта «B», притом, что в платежную форму будет передаваться URLReferrer сайт «A». Это совсем не сложно, хороший программист может это сделать, задействовав только четверть спинного мозга.

У нас система антифрода построена на очень многих характеристиках, у каждой есть свой вес. Характеристики учитываются как плательщика, данных банковской карты, так и магазина — что он продает, какова его популярность, в какие страны он продает и т.д.
Пожалуй не соглашусь. Без ифрэйма у вас будет светится или ип (в случае серверных скриптов) или реальный реферер отправляемый браузером кардхолдера (в случае с, например, js). На основании этого можно решать тот ли это сайт который Вы валидировали. В вашем случае вообще пропадает смысл валидации сайта.

Расскажу, как организовано у нас в PaysiteCash. Мерчанту предлагается либо хостед доступ, когда кардхолдер переходит на, собственно, страницу PaysiteCash и там вводит данные карты (iframы убиваются js, т.е. при совершении платежа, пользователь в любом случае видит наш сайт) или directlink, когда мёрчант использует наш API, но хранит информацию по кардхолдеру у себя, но в этом случае он обязан пройти сертификацию PCI DSS.
Делается так: пользователь с сайта B перед переходом на платежную форму перенаправляется на некоторую страницу сайта A, с которой происходит редирект на платежную форму. Редирект можно делать скрытым, можно делать с выводом какой-то информации с подтверждением пользователя. В данном случае URLReferrer = A

Все, что Вы описали, есть и в PayOnline, в т.ч. переход на форму (в которой отображается сайт, к которому подключена услуга приема платежей), поддержка frame, SecuredGate с поддержкой 3-DS, причем несколько вариантов, в т.ч. для приложений на мобильных девайсах.

Выше уже писали мои коллеги, что любой интернет-магазин должен проходить PCI DSS, его минимум, включая ASV сканирование. Последнее нужно как минимум для того, чтобы сайт не взомали и не подменили адрес платежной страницы на фишинговую.

В любом случае, трафик мониторится более сложными методами. Одним URLReferrer (давайте обобщим лучше даже в UserAgent) не обойдешься. Антифрод — это сложная система, очень и очень.

А есть еще более изощренные способы мошенничества, когда URLReferrer просто подменят. Здесь уже я не буду раскрывать этот метод.
Скоро — 24 и 25 июня 2013 года я буду рассказывать о PCI DSS на обучающем семинаре в Питере. Ни один вопрос не останется без ответа!
Приглашаю всех — участие бесплатное. Регистрация уже доступна на pcidsstraining.ru/
А если я хочу например написать мобильное приложение для P2P перевода денег мне нужен такой сертификат?
Sign up to leave a comment.