Что нужно знать интернет-торговцу о PCI DSS процессора электронных платежей?

24 ноября 2015, 17:09

PCI DSS – эти буквы знакомы, пожалуй, каждому, кто имеет отношение к электронной коммерции. Тем не менее, наши клиенты просят объяснить, что скрывается за этой аббревиатурой, зачем это нужно интернет-магазину, и нужно ли вообще.

PCI DSS- набор правил и требований для процессоров

PCI DSS расшифровывается как Payment Card Industry Data Security Standard, на русский язык можно перевести, как «Стандарт безопасности данных в индустрии платежных карт». Этот стандарт  разрабатывается и поддерживается некоммерческой организацией под названием Payment Card Industry Security Standards Council. Или, говоря по-русски,«Совет по стандартам безопасности в индустрии платежных карт».

Совет был создан в 2006 году ведущими мировыми платежными системами и крупнейшими компаниями, работающими в сфере платежных карт и электронной коммерции.

Его основной задачей является анализ возникающих угроз и выработка единого максимального эффективного подхода к защите платежных данных (номера карты, CVV кода и т.д.) от хищения, компрометации и несанкционированного доступа на каждом этапе обработки карточного платежа.

Собственно, PCI DSS есть ничто иное, как набор правил и требований, обязательных к исполнению любой организацией, которая имеет непосредственный контакт с карточными данными. Эти правила и требования охватывают и регулируют достаточно широкий круг вопросов: от способов приема, обработки и хранения конфиденциальной информации платежной карты до организации внутренних процессов компании (например, процессоров электронных платежей таких как bePaid, (ООО«ИкомЧардж»)). Цель одна – не допустить  компрометации карточных данных и свести эту вероятность к минимуму.

Заметим, что сам факт приема карт к оплате в интернет-магазине вовсе не означает непосредственный контакт магазина с карточными данными покупателя. Если для приема платежей используется платежная страница, предоставленная процессинговой компанией (с перенаправлением или с использованием iFrame и других технологий) и карточные данные не проходят через сетевую и техническую инфраструктуру интернет-магазина, у него не возникает обязанности по выполнению требований PCI DSS. За это отвечает процессинговая компания, обслуживающая прием платежей данного интернет-магазина.

Также хочется заметить, что сам по себе стандарт PCI DSS никак не защищает интернет-магазин от мошенничества. У него другие задачи.

Ответ интернет-продавцу

Нужно ли владельцу интернет-магазина задумываться о соответствии своего предприятия требованиям стандарта безопасности PCI DSS?

В современном мире электронной коммерции, где все вопросы, связанные с безопасностью, не только берут на себя, но и успешно решают специальные процессинговые компании, в этом нет необходимости.

Оно и к лучшему, так как выполнение всех требований стандарта PCI DSS – дело не простое и затратное во всех отношениях.

А вот убедиться в том, что выбранный вами процессор имеет сертификат соответствия стандарту PCI DSS будет не лишним. Наличие действующего сертификата как минимум говорит о серьезном подходе процессора к заботе о сохранности платежной информации ваших покупателей. К слову, сертификат соответствия выдается на 1 год, после чего вся процедура сертификации повторяется.

Проверить наличие действующего сертификата у той или иной процессинговой компании можно при помощи онлайн базы данных зарегистрированных поставщиков платежных услуг систем:

1.VISA http://www.visa.com/splisting/searchGrsp.do

2. MasterCard https://www.mastercard.com/us/company/en/docs/SP_Post_List.pdf

Необходимо отметить, что компания-процессор появляется в списках платежных систем в течение месяца после получения PCI DSS сертификата, но, при условии, что она зарегистрирована там банком-спонсором, т.е. эквайером. Например, ОАО «Беларусбанк» банк-спонсор bePaid.

А что же думать, если вы вдруг не нашли имя своего процессора в списках платежных систем?

И в этом случае можно найти объяснение. Ваш процессор электронных платежей арендует уже готовый процессинговый софт. Это один из вариантов организации бизнеса компании-процессора. Так как одно из требований регистрации — это наличие PCI DSS, то в случае аренды платежного шлюза, PCI DSS предоставляется компанией-поставщиком, а компания-процессор регистрируется по упрощенной схеме и отображается в строке «solicitor».

По такой схеме работает довольно много процессоров электронных платежей. Например, рижская компания eComCharge сдает в аренду свой платежный шлюз тем бизнесам, которые не хотят  тратить время  и средства на написание своей собственной системы, но имеют огромное желание работать в сфере e-commerce, поэтому и отдают всю техническую часть на аутсорсинг профессионалам.

Сертификация игроков белорусского e-commerce

В Беларуси банки-эквайеры обязаны отслеживать и отслеживают наличие сертификации стандарта PCI DSS у процессоров электронных платежей, с которыми они работают. В свою очередь, процессор обязан ежегодно предоставлять своему партнеру, банку-эквайеру, актуальный сертификат. Так что отечественный онлайн-бизнес может быть уверен, что процессор, с которым он заключил договор на обслуживание в Беларуси, соответствует принятому в платежной индустрии стандарту PCI DSS.

С уважением,

Команда bePaid

подписка на главные новости 
недели != спам
# ит-новости
# анонсы событий
# вакансии
Обсуждение