PCI DSS – как и зачем получать сертификат соответствия

    Привет, %username%!
    Этот пост мы подготовили для тех, кто работает в сфере интернет-коммерции и планирует принимать (или уже принимает) платежи на собственном сайте. Мы расскажем о международном стандарте безопасности данных PCI DSS. Поговорим о его основных требованиях к информационной инфраструктуре, которая обеспечивает обработку и обеспечение безопасности данных банковских карт. Также мы рассмотрим основные причины прохождения сертификации и возможности, которые получает сертифицированная компания.

    PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан международными платежными системами Visa и MasterCard. Любая организация, планирующая принимать и обрабатывать данные банковских карт на своем сайте, должна соответствовать требованиям PCI DSS.

    Существует 4 уровня сертификатов PCI DSS, которые в первую очередь отличаются максимально возможным количеством обрабатываемых транзакций:
    • Level 4 позволяет обрабатывать до 20 тыс. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное сканирование внешних адресов на наличие уязвимостей (ASV-сканирование) и заполнение листа самооценки (Annual Self-Assessment Questionnaire, SAQ)
    • Level 3 позволяет обрабатывать от 20 тыс. до 1млн. транзакций в год. Для прохождения сертификации требуется как ежеквартальное ASV-сканирование, так и заполнение листа самооценки (SAQ).
    • Level 2 позволяет обрабатывать от 1 млн. до 6 млн. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное ASV-сканирование и заполнение листа самооценки (SAQ). Однако, после 30 июня 2012 года для заполнения SAQ на этом уровне будет необходимо либо отправлять собственных сотрудников на специализированный тренинг, либо привлекать компанию-аудитора (PCI QSA).
    • Сертификация на соответствие требованиям PCI DSS Level 1 проводится только с привлечением независимого аудитора (QSA) и позволяет обрабатывать более 6 млн. транзакций в год. Процедура сертификации включает в себя обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту, консультационную поддержку при внедрении.

    Мы ежегодно проходим сертификацию на соответствие требованиям стандарта PCI DSS. Для нас, как для процессингового центра, соответствие требованиям PCI DSS Level 1 является обязательным. Такое требование международные платежные системы (МПС) предъявляют к компаниям, предоставляющим услуги интернет-эквайринга.
    Предприятия, реализующие товары или услуги через Интернет, проходят сертификацию на соответствие требованиям PCI DSS по ряду причин:
    • Конверсия. Компании опасаются потери части оплат при переходе из корзины на отдельную платежную страницу.
    • Имидж. Иногда крупные компании не хотят, чтобы для ввода данных банковской карты клиент переходил с сайта компании на сайт сторонней организации (банка или процессингового центра).
    • Технические задачи. Компании нужно построить собственную высокотехнологичную схему проведения платежей, ориентированную на специфику бизнеса.

    Сертификация PCI DSS позволяет работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия. Это позволяет исключить переход покупателя на сайт сторонней организации. Кроме того, построение собственной платежной системы позволяет работать напрямую сразу с несколькими банками, «балансируя» между ними, и построить систему «каскадного» проведения платежей. При «каскадном» проведении платежа, его авторизация осуществляется последовательно в нескольких банках и процессинговых центрах, что позволяет значительно снизить процент отклоненных транзакций.

    Но самостоятельная работа с банками дает компании не только преимущество в адаптации платежной системы «под себя». Она обязывает компанию взять на себя борьбу с мошенническими операциями при обработке данных банковских карт на своем сайте. Иными словами, компании необходимо построить собственную систему мониторинга и борьбы с мошенническими операциями (анти-фрод). Задача анти-фрод системы – фильтрация операций, определяемых как мошеннические, по ряду признаков (например, несовпадение банка-эмитента со страной оплаты или проживания плательщика).

    На стадии построения и отладки анти-фрод системы много времени «съест» сбор и анализ данных об операциях по банковским картам. Цель сбора данных – выявление отличительных признаков мошеннических операций. В процессе сбора статистики компании придется столкнуться с большим объемом «charge-back» операций.

    Построение собственной анти-фрод системы логично и финансово обосновано для компаний с большим оборотом платежей по банковским картам. Для таких компаний гибкость и полный контроль над системой фильтрации платежей являются критически важными. Плюс, у такой компании есть возможность выделить ресурсы на разработку и постоянное развитие технологий и инструментов собственного “мини процессингового центра”.

    Стоит отметить, что в мониторинге рисков сложно найти лучшего поставщика услуг, чем процессинговый центр. Благодаря разнообразию и значительному количеству клиентов, ПЦ обладает обширной историей мониторинга и фильтрации. Даже если компания занимается построением собственной анти-фрод системы, она может отдавать на обработку в ПЦ транзакции, вызывающие сомнения у внутренних специалистов по рискам.

    Для принятия взвешенного решения о выборе способа обработки данных банковских карт, необходимо оценивать все составляющие процесса от подачи документов до поддержки кардхолдеров. Для того чтобы принять решение было проще, мы провели сравнение двух основных подходов по приему и обработке данных банковских карт: если ввод данных осуществляется на стороннем сайте (например, ПЦ) – и если данные вводят на сайте предприятия с последующей авторизацией платежа в банке.

    Ввод данных банковской карты осуществляется на сайте предприятия с последующей авторизацией платежей (например в банке) Ввод данных банковской карты осуществляется на стороннем сайте (например на защищенной платежной странице ПЦ)
    PCI DSS Прохождение сертификации на соответствие требованиям PCI DSS обязательно. Прохождение сертификации не обязательно.
    Подключение Для приема платежей напрямую, необходимо самостоятельно подключиться к банку. Решение банка зависит, в том числе, от оборота компании. Для подключения необходимо передать пакет документов личному менеджеру, который будет взаимодействовать с банком и заниматься подготовкой договора.
    Комиссия Комиссия, взимаемая банком за обработку платежей, составляет от 2% от суммы транзакции и зависит от объема оборота и сферы деятельности компании. Процент комиссии, полученный клиентом от банка напрямую, зачастую равен проценту, предоставляемому ПЦ. Это связано с “оптовыми” условиями работы для ПЦ и высоким уровнем надежности мониторинга транзакций, в котором заинтересован банк. Комиссия, взимаемая ПЦ за обработку платежей и комплекс дополнительных услуг, составляет от 2,5% от суммы транзакции и зависит от объема оборота и сферы деятельности компании.
    Бухгалтерия Взаимодействием с банком по вопросам бухгалтерской отчетности и проведением платежей компания занимается самостоятельно. Для составления отчетов требуется активная работа с банком и построение собственной биллинговой системы. Биллинговая система ПЦ предоставляет клиентам возможность производить online-учет осуществленных транзакций. Возможность самостоятельно выгружать бухгалтерские документы (акт, детализированная выписка системы PayOnline, счет) в интерфейсе личного кабинета.
    Поддержка плательщиков Для оказания квалифицированной поддержки плательщиков необходимо организовать собственный Call-центр или покупать услуги стороннего (от 25 000 руб. /мес. за работу специалиста). Если у Вас уже есть Call-центр, необходимо провести дополнительную обучение специалистов для работы с держателями карт. Также требуется построение инфраструктуры Call-центра: софт, телефония. Поддержка держателей карт, совершающих платежи в Вашем интернет-магазине, осуществляется специалистами Call-центра ПЦ.
    Мониторинг транзакций Мониторинг транзакций должен осуществляться штатными квалифицированными специалистами предприятия e-commerce, обрабатывающего данные банковских карт. Заработная плата специалиста по рискам — от 35 000 руб. / мес. Мониторинг транзакций, с том числе программный, осуществляется специалистами департамента рисков ПЦ.
    Железо Требуются вложения в серверную часть, необходимые для прохождения сертификации и обеспечения достаточного уровня безопасности. Сумма зависит от Level-a сертификата и предполагаемой инфраструктуры. Вам не требуются дополнительные расходы на развитие серверной части, так как обработка транзакций происходит на защищенных серверах ПЦ.
    Разработка Для организации самостоятельного приема платежей необходима разработка или покупка биллинговой системы, в том числе сервисов безопасной передачи данных в банк, безопасных форм приема платежей, дополнительных интерфейсов. Требуется постоянная работа специалиста высокой квалификации стоимостью не менее 65000 руб. / мес. Для подключения к ПЦ требуется единоразовое привлечение разработчика для внедрения платежной формы на сайт компании. При необходимости, брендированая платежная форма разрабатывается специалистами ПЦ.
    Прием платежей на сайте (без перехода на сторонний ресурс) Вы обрабатываете данные банковских карт на сайте без перехода на сторонний ресурс. Возможна реализация приема платежей без прямого перехода на сайт ПЦ с использованием технологии IFrame.


    Таким образом, если компания собирается пройти сертификацию на соответствие PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования стандарта PCI DSS. Они охватывают безопасность на уровне сетей, оборудования, приложений, баз данных, физических хранилищ, документирования и управления процессами. И, как уже говорилось выше, построение анти-фрод системы и биллинговой системы, задача непростая и длительная в реализации, также выполняется компанией самостоятельно.

    К компаниям, работающим только с платёжным шлюзом и не принимающих на своем данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ). Они касаются сайта предприятия e-commerce, корректности контента и ценовых предложений, организационной формы компании.

    Если после прочтения этого поста у Вас появились вопросы – пишите в комментарии. Со стороны аудитора и специалиста по требованиям стандарта PCI DSS Вас проконсультирует Евгений Безгодов aka Bezgodov, исполнительный директор компании Deiteriy, CISA, PCI QSA. Со стороны платежного шлюза как всегда на связи специалисты процессингового центра PayOnline.
    PayOnline
    Система электронных платежей
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 11

      +1
      Уточнение по вопросу сертификации интернет-магазинов по PCI DSS.

      Согласно Стандарту и правилам международных платёжных систем (VISA, MasterCard), соответствовать стандарту и ежегодно подтверждать своё соответствие должны все интернет-магазины, принимающие карты к оплате.
      Использование услуг платёжного шлюза не избавляет от этой обязанности, но на порядок облегчает её выполнение, сокращая число применимых требований стандарта с почти 300 до 13.
        0
        Интересно, сколько интернет-магазинов в России, принимающих карты, имеют сертификат соответствия PCI DSS?
          0
          Крупные только, штук 10-20, да и то, в основном те, у которых ввод реквизитов карт производится на их веб-сайтах.

          Вот несколько штук:
          www.tutitututu.com/
          www.vigoda.ru/
          www.anywayanyday.ru/

            0
            Пока это немногие магазины. Внедрение PCI DSS начиналось с банков и платёжных шлюзов, множество из которых уже сертифицированы по PCI DSS. Сейчас наблюдается рост интереса к стандарту среди интернет-магазинов. Обычно люди обращаются, когда получают запрос подтверждения соответствия от своего банка.
          0
          такой вопрос, вот вы пишете «Возможна реализация приема платежей без прямого перехода на сайт ПЦ с использованием технологии IFrame.» а не боитесь, что мерчант зарегистрировав один, «белый» сайт будет проводить платежи с другого, хайриск сайта. реферера ведь не отследить. а вам потом с чарджбеками разбираться?
            0
            Нет, не боимся, URLReferrer не сильно помогает в предотвращении мошенничества.
            Можно и без iframe подключить один сайт «A», а реально принимать платежи с другого сайта «B», притом, что в платежную форму будет передаваться URLReferrer сайт «A». Это совсем не сложно, хороший программист может это сделать, задействовав только четверть спинного мозга.

            У нас система антифрода построена на очень многих характеристиках, у каждой есть свой вес. Характеристики учитываются как плательщика, данных банковской карты, так и магазина — что он продает, какова его популярность, в какие страны он продает и т.д.
              0
              Пожалуй не соглашусь. Без ифрэйма у вас будет светится или ип (в случае серверных скриптов) или реальный реферер отправляемый браузером кардхолдера (в случае с, например, js). На основании этого можно решать тот ли это сайт который Вы валидировали. В вашем случае вообще пропадает смысл валидации сайта.

              Расскажу, как организовано у нас в PaysiteCash. Мерчанту предлагается либо хостед доступ, когда кардхолдер переходит на, собственно, страницу PaysiteCash и там вводит данные карты (iframы убиваются js, т.е. при совершении платежа, пользователь в любом случае видит наш сайт) или directlink, когда мёрчант использует наш API, но хранит информацию по кардхолдеру у себя, но в этом случае он обязан пройти сертификацию PCI DSS.
                0
                Делается так: пользователь с сайта B перед переходом на платежную форму перенаправляется на некоторую страницу сайта A, с которой происходит редирект на платежную форму. Редирект можно делать скрытым, можно делать с выводом какой-то информации с подтверждением пользователя. В данном случае URLReferrer = A

                Все, что Вы описали, есть и в PayOnline, в т.ч. переход на форму (в которой отображается сайт, к которому подключена услуга приема платежей), поддержка frame, SecuredGate с поддержкой 3-DS, причем несколько вариантов, в т.ч. для приложений на мобильных девайсах.

                Выше уже писали мои коллеги, что любой интернет-магазин должен проходить PCI DSS, его минимум, включая ASV сканирование. Последнее нужно как минимум для того, чтобы сайт не взомали и не подменили адрес платежной страницы на фишинговую.

                В любом случае, трафик мониторится более сложными методами. Одним URLReferrer (давайте обобщим лучше даже в UserAgent) не обойдешься. Антифрод — это сложная система, очень и очень.

                А есть еще более изощренные способы мошенничества, когда URLReferrer просто подменят. Здесь уже я не буду раскрывать этот метод.
                  0
                  Ошибся, не UserAgent, а HTTPHeaders.
              0
              Скоро — 24 и 25 июня 2013 года я буду рассказывать о PCI DSS на обучающем семинаре в Питере. Ни один вопрос не останется без ответа!
              Приглашаю всех — участие бесплатное. Регистрация уже доступна на pcidsstraining.ru/
                0
                А если я хочу например написать мобильное приложение для P2P перевода денег мне нужен такой сертификат?

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое