15.10.2019
У цій статті ми поговоримо про те, як VISA та MasterCard стежать за тим, щоб учасники цих платіжних систем відповідали вимогам PCI DSS.
Довгий час була популярна думка, що відповідати стандарту необхідно виключно великим банкам та процесинговим центрам.
Виникнення цієї помилки стало можливим тому, що VISA та MasterCard тривалий час не звертали уваги на сертифікацію торгово-сервісних підприємств, фокусуючись виключно на великих гравцях ринку.
Ситуація змінилася за останні кілька років. Банки пройшли сертифікацію за стандартом PCI DSS та підняли до необхідного рівня захист даних платіжних карток. Але загроза платіжних систем залишається. Найближчим часом торговим мережам, великим сервіс-провайдерам, онлайновим платіжним системам потрібно бути готовими до того, що увага з боку VISA та MasterCard посилюватиметься. Отже, сертифікація за стандартом PCI DSS буде все більше й більше затребувана.
Очевидно, що безпосередньо прийти в компанію представники VISA та MasterCard не можуть, тому постає питання: як перевіряється наявність сертифіката? І як платіжна система вимагатиме відповідності PCI DSS від торговців?
VISA та MasterCard вибудували дуже схожі системи нагляду за тим, щоб компанії, які використовують ці платіжні системи, відповідали всім вимогам стандарту PCI DSS. Банки-еквайєри здійснюють контроль за тим, щоб усі підприємства, які підключаються до платіжних систем, мали відповідність стандарту PCI DSS.
Кожен банк повинен не рідше ніж на рік подавати для VISA і MasterCard розгорнуті звіти про проходження продавцями сертифікації. А також повідомляти про всі факти витоку карткових даних із ІТ-інфраструктури торговців.
Тому всім готелям, онлайн-магазинам, автозаправкам та іншим видам бізнесу необхідно бути готовим до того, що банк, через який здійснюються платежі клієнтів, висуватиме вимоги щодо захисту карткових даних. Іншими словами, банки вимагатимуть наявність сертифікату за стандартом PCI DSS.
Торгові компанії можуть відрізнятися за розміром, мати різний оборот коштів та проводити різну кількість операцій. Тому виділяють чотири рівні відповідності стандарту PCI DSS для торговців:
1. Якщо компанія протягом року обробляє 6 млн і більше транзакцій за платіжними картками, вона належить до першого рівня. Банк вимагатиме проходження повного аудиту та надання звіту про відповідність PCI DSS за підписом зовнішнього QSA-аудитора.
2. У разі, коли через компанію проходить від 1 млн до 6 млн транзакцій, вона відноситься до другого рівня. На запит банку представники компанії зобов'язані надати заповнену самоопитувальну анкету та атестат відповідності стандарту PCI DSS.
3. Найбільша кількість компаній проводять від 10 тис до 1 млн транзакцій на рік, і відносяться до третього рівня. Для цього рівня важливо щороку заповнювати самоопитувальну анкету та проводити сканування вразливостей в одній з акредитованих ASV-компаній. На відміну від другого рівня, ці компанії не зобов'язані подавати документи про відповідність PCI DSS. Але банк може ухвалити рішення та наполягти на наданні атестату відповідності. Це лише рішення банку, а платіжні системи VISA та MasterCard не наполягають на цьому.
4. Компанії, які проводять до 20 тис транзакцій протягом року, можуть не подавати будь-яку звітність по PCI DSS. Ці компанії належать до четвертого рівня. Банки не проводили їхнього контролю до 31/03/2019 року. Після цієї дати банки почали вимагати від компаній заповнення анкети та надання атестату відповідності.
До нашої компанії часто звертаються українські банки за консультаціями щодо заповнення звітних документів для VISA та MasterCard. Подібні консультації для банків проводяться безкоштовно.
Крім загальної інформації про кількість торговців кожного рівня, які обслуговуються, банк передає платіжним системам такі дані:● Загальна кількість операцій із платіжних карток за минулий фінансовий рік;● Рівень відповідності (від 1-го до 4-го) кожного торговця. Цей рівень має визначити сам банк за кількістю транзакцій;● Інформація про те, чи зберігаються на стороні торговця автентифікаційні дані карт: пінкод, CVV2 та CVC2;● Наявність у компанії, що перевіряється, сертифікованих внутрішніх аудиторів;● Чи проводився в компанії протягом року аудит PCI DSS;● Тип анкети, який компанія заповнила для підтвердження відповідності. Усього існує 7 типів даних анкет.● Чи проводила компанія щоквартальне сканування вразливостей;● Чи були протягом року інциденти, пов'язані зі зломом та витоком карткових даних;● Термін дії сертифіката PCI DSS;● Кількість транзакцій протягом року, які проводились з використанням EMV-чіпа.
Особливу увагу варто звернути на те, що банки запитують та подають звіт про зберігання автентифікаційних даних карток. Зберігати таку інформацію заборонено. Якщо банк вкаже, що такі дані зберігаються, це може викликати проблеми з обробкою транзакцій компанії.
Також важливими є відомості про інциденти, пов'язані зі зломом та витоком карткових даних. Якщо такі випадки траплялися, компанія автоматично переходить на перший рівень незалежно від кількості транзакцій.
Підсумуємо все сказане вище:● Представникам бізнесу необхідно розуміти, що увага з боку платіжних систем збільшуватиметься, і відповідність вимогам стандарту PCI DSS – це необхідність!● Питання, пов'язані з сертифікацією за стандартом PCI DSS, та комунікації між платіжними системами та банком-екваєром можуть викликати низку питань та проблем.● Не варто витрачати час ні представникам бізнесу, ні представникам банків. Все, що пов'язане із сертифікацією за стандартом PCI DSS, необхідно довірити професіоналам.
Компанія «ІТ Спеціаліст» – лідер на ринку з надання повного переліку послуг із сертифікації PCI DSS.
Чекаємо представників бізнесу та банків на первинних безкоштовних консультаціях.