14.05.2019
У цій статті ми дамо детальну відповідь на одне дуже поширене питання, яке ставлять нам клієнти з України, Європи та Азії. Питання звучить так: «На нашому сайті не зберігаються дані платіжних карток, чи потрібно нашій компанії проходити сертифікацію за стандартом PCI DSS?»
З подібним питанням до нас звертаються компанії, які продають свої товари чи послуги за допомогою веб-сайтів. При цьому платежі від клієнтів приймаються так: під час оплати компанія-продавець перенаправляє покупця на сторінку платіжного майданчика або платіжного сервісу. У якості такого майданчика може бути веб-сайт банку або платіжного шлюзу. Клієнт вносить необхідну інформацію та дані своєї платіжної картки, і після цього відбувається платіж.
У подібних ситуаціях постачальник товарів та послуг взагалі не має справи з даними платіжних карток покупців. Тому дуже природно, що у представників бізнесу виникає питання про необхідність сертифікації PCI DSS.
Насправді те, що на сайті продавця не здійснюється оплата, і дані платіжних карток не зберігаються, дуже хороша практика щодо підвищення рівня інформаційної безпеки свого бізнесу!
Ось один із прикладів, який мав місце у 2018 році. Хакери зламали сайт www.myheritage.com.ua. Було вкрадено бази даних користувачів. Оскільки цей сайт продає послуги своїм клієнтам, були побоювання, що хакери можуть оволодіти ще й даними платіжних карток. На щастя, зловмисники не отримали цих даних тому, що всі платежі приймалися за допомогою стороннього платіжного сервісу.
Згадаймо, у яких випадках вимоги PCI DSS необхідно виконувати!
У стандарті PCI DSS написано, що його вимоги стосуються всіх компаній, які зберігають, передають та обробляють дані платіжних карток, а також можуть впливати на їхню безпеку.
Це означає, що навіть якщо веб-сайт лише перенаправляє покупців на зовнішню сторінку оплати, він впливає на безпеку даних платіжних карток. Необхідно забезпечити безпеку такого перенаправлення. Тому що якщо хакер зламає веб-сайт продавця, він зможе зробити так, що користувачі будуть перенаправлені не на платіжний майданчик, а на сторінку, вказану хакером. Більшість покупців не зрозуміють, що відбувається, введуть свої дані і в результаті гроші з карток будуть вкрадені зловмисниками.
Виходячи з усього вище сказаного, можна дати відповідь на питання, з яким звертаються до нашої компанії: якщо на сайті не зберігаються дані платіжних карток, такій компанії все одно необхідно пройти сертифікацію за стандартом PCI DSS!
Зрозуміло, що при використанні подібної моделі прийому платежів особливої загрози для платіжних систем не виникає. Тому процедуру проходження сертифікації за стандартом PCI DSS максимально спрощено.
Алгоритм проходження такої спрощеної сертифікації PCI DSS наступний:● Слід провести зовнішнє сканування веб-сайту щодо виявлення вразливостей. Для цього необхідно звернутися до сертифікованої ASV компанії, яка обслуговує той регіон, де знаходиться бізнес, що володіє веб-сайтом. Для такого сканування можна звернутися до нашої компанії. Виходячи з того, що у нас є глобальне покриття, ми можемо провести необхідні роботи для компанії з будь-якої країни.● Необхідно зайти на сайт PCI DSS та завантажити шаблон самоопитувальної анкети SAQ A. Цю анкету необхідно заповнити та поставити на ній підпис директора компанії.● На тому ж сайті PCI DSS завантажити шаблон Attestation of Compliance for Self-Assessment Questionnaire A. Цей документ (атестат) також необхідно заповнити та поставити підпис директора. При цьому важливо, щоб відомості, які будуть в атестаті, не суперечили відомостям раніше заповненої самоопитувальної анкети.
Заповнений атестат можна надавати платіжним системам та банкам. У багатьох випадках цього достатньо. Але часто банки не довіряють самостійному заповненню і просять підтвердження від незалежного аудитора QSA. По суті, банку необхідно мати впевненість у правильному та безпомилковому заповненні обох документів. Як правило, увага представників банків сконцентрована на атестаті відповідності PCI DSS.
Схожа ситуація з проходженням сертифікації за стандартом PCI DSS виникає у дата-центрів, які також не працюють із картковими даними, але відповідають за збереження серверів своїх клієнтів, які обробляють такі дані.
Крім дата-центрів, сертифікацію за стандартом PCI DSS необхідно проходити компаніям у разі, якщо їх співробітники потенційно можуть отримати доступ до карткових даних. До таких компаній належать кол-центри, всілякі техпідтримки та різні види ІТ-аутсорсингу.
Компанія «ІТ Спеціаліст» розробить для вашого бізнесу оптимальний план для отримання сертифікату PCI DSS:• Заповнимо анкети та атестат;• Проведемо ASV-сканування;• Поставимо підпис аудитора QSA;• Забезпечимо отримання сертифіката PCI DSS.
Вашому бізнесу потрібно відповідати стандарту PCI DSS? Ви на правильному шляху! Скористайтеся формою зворотного зв'язку та отримайте первинну безкоштовну консультацію.