10.01.2019
Сертифікація за стандартом PCI DSS можлива за полегшеною процедурою. Як визначити, чи сертифікація проходитиме по ній?
Якщо компанія не є банком, процесинговим центром чи глобальним рітейлером, а також здійснює не більше 300 тис. транзакцій протягом року, то сертифікація PCI DSS можлива за полегшеною процедурою.
Це означає, що для отримання сертифікату повний аудит не потрібен. Нема сенсу запрошувати сертифікованого аудитора до компанії, тому що необхідну оцінку для відповідності стандарту PCI DSS можна пройти віддалено.
Для підтвердження відповідності потрібно заповнити так звану самоопитувальну анкету SAQ. Бланк самоопитувальної анкети SAQ можна знайти на сайті Ради PCI DSS.
Самостійне заповнення анкети SAQ – справа дуже проблематична через специфічність формулювань. Навіть Рада PCI DSS рекомендує перед заповненням анкети пройти навчання та сертифікуватися за програмою внутрішнього аудитора PCI DSS. Така процедура навчання співробітника може бути тривалою та дорогою. Та й навіщо створювати всередині компанії штатного аудитора, який після навчання захоче продати свої нові навички дорожче?
Ми рекомендуємо для заповнення анкети SAQ звертатися до компаній, які професійно займаються всім, що пов'язано з сертифікацією за стандартом PCI DSS. Наша компанія IT Specialist – це саме та компанія, яка без проблем заповнить анкету SAQ та проведе сертифікацію за стандартом PCI DSS для вашого бізнесу.
На даний момент існує дев'ять різних варіантів анкет SAQ. Залежно від способу обробки платіжних карток потрібно заповнення відповідної анкети.
Спочатку, коли стандарт PCI DSS створювався, було лише 4 типи анкет: A, B, C, D. Ці буквені позначення збереглися й сьогодні. З розвитком технологій обробки карткових даних з'являлися анкети, що відображають специфіку нових технологій, для них застосували розширене літерне позначення. Наприклад, з'явилися анкети A-EP чи B-IP.
Давайте коротко розглянемо анкети кожного типу.
Анкета SAQ A – це найпростіша та найкоротша анкета, вона призначена для тих компаній, які не зберігають карткові дані. Такі компанії називають e-commerce, і вони приймають платежі за картами лише через онлайн-системи. При цьому прийом карткових даних та їх обробка здійснюються стороннім провайдером – банком чи процесинговим центром.Прикладами таких компаній є інтернет-магазини, сайти продажу різних квитків, сервіси для бронювання готелів та інші види онлайн-торгівлі. У цьому випадку такі компанії не мають своєї сторінки платежів. Під час покупки користувач перенаправляється на сторінку провайдера, де здійснюється оплата.
Анкета SAQ A-EP. Критерії вибору цієї анкети майже самі, як і анкети SAQ A, з одним уточненням - в онлайн-магазину може бути своя власна сторінка прийому даних карт. Користувач не перенаправляється на сторінку провайдера. Користувач вводить свої дані для оплати на сторінці компанії, що займається e-commerce. Після введення дані, отримані від покупця, надсилаються провайдеру. Зберігання подібних даних компанією, що надає послугу чи товар, не провадиться. Анкета SAQ В. Дана анкета застосовна тільки в тому випадку, коли платіж відбувається у варіанті face-to-face (віч-на-віч). Насправді це відбувається так: клієнт пред'являє картку для оплати, продавець, у свою чергу, використовує платіжний POS-термінал, який підключений до банку через телефонну лінію або мережу мобільного оператора. За такої оплати є одна важлива умова – POS-термінал не зберігає платіжних даних. Отримані дані одразу вирушають до банку.Використання цієї анкети поширюється на ресторани, магазини, автозаправки тощо.
Анкета SAQ В-IP. Анкета застосовна у тих випадках, як і Анкета SAQ У, але з невеликою умовою. Її слід використовувати, якщо встановлений у торговій точці термінал підключається до банку через інтернет, дротову мережу або Wi-Fi.Важливо пам'ятати, що такий POS-термінал має бути сертифікований Радою PCI DSS.
Анкета SAQ С. Ця анкета застосовується в торгових організаціях, які приймають платежі по карті з використанням комп'ютерів у присутності платника. Наприклад, людина входить у турагентство, пред'являє картку, і її картки вносяться у програму туроператора для проведення оплати. При цьому важливою вимогою є те, що дані не зберігаються в комп'ютері продавця.
Анкета SAQ – VT. Ще один вид самоопитувальної анкети. Вона призначена для продавців, які використовують програмні термінали або платіжні кіоски.
Анкета SAQ P2PE. Цю анкету використовують ті торгові компанії, які приймають оплати за товари та послуги через платіжні термінали. Такі термінали встановлюються та підключаються банком за спеціальною технологією, що забезпечує повне шифрування транзакцій. Сама технологія шифрування повинна мати сертифікат від Ради PCI DSS. При цьому банк має надати сертифікат P2PE. Наявність такого сертифіката у банку означає, що його можна вибрати для співробітництва.Ця анкета підходить мережевим магазинам, які для прийому платежів встановлюють сертифіковані рішення.
Анкета SAQ D for merchants. Дана анкета призначена для тих продавців, які зберігають карткові дані або не підпадають під один із вищезгаданих типів анкет.
Анкета SAQ D for service providers. Остання анкета призначена для сервіс-провайдерів, які надають послуги банкам чи торгово-сервісним підприємствам.Ця анкета підходить для платіжних шлюзів, агрегаторів платежів, дата-центрів та інших видів такого бізнесу.
У цій статті ми коротко познайомили читача із дев'ятьма різновидами SAQ анкет.
Визначення того, який вид анкети необхідно заповнити, і саме заповнення анкети – справа, що вимагає певних знань і навичок.
Довірте заповнення анкети та сертифікацію за стандартом PCI DSS спеціалізованій компанії, у якій працює команда професіоналів, і ви отримаєте:● відповіді на всі свої запитання;● правильний підбір SAQ анкети;● заповнення SAQ анкети професійним аудитором;● проходження сертифікації за стандартом PCI DSS.
Зв'яжіться з нашими фахівцями за допомогою форми зворотного зв'язку: