19.11.2021
Більшість невеликих бізнесів, таких як кав'ярні, туристичні бюро, СТО, магазини використовують для отримання платежів від клієнтів 1-2 POS-термінали. Як правило, через ці термінали відбувається невелика кількість платежів.
Навіть у разі, коли обсяг платежів незначний, партнер, який приймає платежі (зазвичай таким партнером виступає банк), вимагає відповідати стандарту PCI DSS.
Крім партнера, відповідність стандарту PCI DSS може вимагати зовнішній регулятор. Наприклад, у туристичному бізнесі таким зовнішнім регулятором є міжнародна асоціація повітряного транспорту IATA.
У 2016 році асоціація IATA висунула вимогу для всіх компаній туристичного бізнесу, які працюють у системі онлайн-бронювання. Ця вимога дуже проста – до 01.03.2018 року всі учасники системи IATA мали пройти обов'язкову сертифікацію на відповідність стандарту PCІ DSS.
Власнику або керівнику невеликого бізнесу необхідно розуміти, що відповідність стандарту PCІ DSS – необхідність, оскільки це вимога партнерів чи регуляторів, залежно від виду та специфіки бізнесу. І зовсім не має значення, що через термінал проходить дуже мало платежів. Навіть якщо це лише один платіж, все одно вимоги стандарту PCІ DSS поширюються на цей вид бізнесу.
Ми часто чуємо від власників бізнесу питання: у нашому бізнесі платіжний термінал не підключений до мережі компанії, він зв'язується з банком через 4G інтернет, жодних даних платіжних карток ми не зберігаємо, навіщо нам проходити сертифікацію за стандартом PCІ DSS?
Зрозуміло, що обсяг платежів невеликий, ризик витоку даних карток – мінімальний із можливих, і саме тому у керівників бізнесу виникають подібні питання, а найчастіше й подив.
Навіть якщо бізнес-процеси налаштовані таким чином, все одно необхідно відповідати стандарту PCІ DSS, такими є вимоги платіжних систем. І якщо для ведення бізнесу необхідно приймати платежі з банківських карток, доведеться виконувати всі вимоги.
Невеликий обсяг платежів враховується у виборі процедури сертифікації та впливає на рівень відповідальності за невиконання вимог стандарту PCІ DSS.
Для вищеописаних видів бізнесу та їм подібним, проходження сертифікації здійснюватиметься за спрощеною процедурою. Поговоримо докладніше про цей процес.
Якщо компанія приймає платежі лише через POS-термінал, і кількість транзакцій не перевищує 20 тис. на рік, це означає, що у платіжній системі вона належить до категорії мерчантів 4-го рівня.
Для успішної сертифікації за стандартом PCІ DSS необхідно виконати три простих кроки:1. Важливо переконатися, що встановлений термінал сертифікований як пристрій за стандартом PIN Transaction Security. А перевірити термінал можна на сайті стандарту PCІ DSS.2. Необхідно скачати та заповнити два документи: самоопитувальну анкету SAQ B-IP та відповідний цій анкеті атестат AOC SAQ B-IP. Для зручності надамо вам посилання, де ви зможете завантажити ці два документи.3. Для перевірки коректності заповнення документів та отримання підпису з боку аудитора QSA запрошуємо звернутися до нашої компанії. Якщо в аудитора не виникне жодних питань та зауважень, компанія отримує сертифікат відповідності стандарту PCІ DSS.
Ось ці прості три кроки і є дорожньою картою з отримання сертифіката PCІ DSS для невеликого бізнесу, який використовує 1-2 POS-термінали.
Кожен бізнес індивідуальний, і тому в процесі виконання цих трьох кроків у вас можуть виникнути питання. Запрошуємо вас отримати відповіді на всі запитання та пройти сертифікацію за стандартом PCІ DSS.
Зв'язуйтесь із консультантами за допомогою форми зворотного зв'язку.