25.05.2021
Банкам і процесинговим центрам необхідно проходити сертифікацію на відповідність стандарту PCI DSS. Навіщо це потрібно? Давайте детально розглянемо цю тему.
Що таке банк, знає, напевно, кожна людина.
Банк – це організація, діяльність якої пов’язана з залученням і розміщенням грошових коштів. Також діяльність банку сконцентрована на всіляких розрахунках і операціях з грошима і цінними паперами.
Що таке процесингові центри, знають далеко не всі люди, тому давайте зупинимося на цьому більш детально.
Процесингові центри – це організації, бізнес яких сконцентрований на обробці платежів. За своєю суттю, процесинговий центр – це сучасна, автоматизована система обробки платежів з використанням банківських карт.
Процесингові центри можна розділити на дві категорії. Перша – це незалежні процесингові центри. І друга – це процесингові центри, які є підрозділами великих банків.
Яка загальна риса у банків і процесингових центрів?
Банки і процесингові центри безпосередньо підключені до міжнародних платіжних систем (таких як Visa, MasterCard, та ін).
Природно, що у міжнародних платіжних систем є свої суворі правила і вимоги. Банки і процесингові центри зобов’язані виконувати ці правила та вимоги. Варто окремо відзначити, що банки і процесингові центри несуть відповідальність за виконання всіх вимог міжнародних платіжних систем.
Для того, щоб гарантувати безпеку збереження коштів своїх клієнтів, лідери ринку платіжних систем, наприклад, Visa і MasterCard, висувають банкам і процесинговим центрам обов’язкову умову – відповідати стандарту PCI DSS.
Буде не зайвим згадати, що таке стандарт PCI DSS.
Payment Card Industry Data Security Standard (PCI DSS) – стандарт безпеки даних індустрії платіжних карток. Він розроблений Радою стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як: Visa, MasterCard, American Express, JCB і Discover.
Стандарт PCI DSS – це сукупність вимог щодо забезпечення безпеки даних власників платіжних карток, які зберігаються, передаються та/або обробляються в банках, процесингових центрах та інших комерційних структурах.
Фактично, банки та процесингові центри не можуть працювати без відповідності вимогам стандарту PCI DSS.
Давайте розглянемо життя звичайної людини і те, як він проводить розрахунок за найпростіший товар.
Молодий чоловік йде вранці на роботу, по дорозі заходить в улюблене кафе і купує каву. Замість готівки він дістає зі свого гаманця шматочок пластика – банківську платіжну картку. На цій картці є його ім’я, прізвище, магнітна смуга, чип і дата закінчення терміну дії картки.
Молодий чоловік отримав пластикову платіжну картку в банку. Банк, який випустив картку називаються – емітент.
Бармен приготував ароматну каву. Так як розрахунок буде проводитися банківською карткою, бармен повинен надати РОS-термінал (пристрій для прийому розрахунків за допомогою пластикових карток).
При цьому потрібно розуміти, що на самій картці грошей немає – це не гаманець. Банківська картка – це всього лише ключ до банківського рахунку цієї молодої людини.
Завдання POS-терміналу – перевірити те, що картка дійсна. Після цієї перевірки POS-термінал відправляє інформацію про те, що сталася транзакція з використанням даної картки. Інформація потрапляє в банк-еквайєр. Це банк, де обслуговується дане кафе.
Ця операція називається авторизація платежу. І для того, щоб вона завершилася успішно, банк-еквайєр повинен зв’язатися з банком-емітентом для підтвердження того, що рахунок існує і на ньому є гроші для оплати. Складна взаємодія при простій покупці кави. Вся ця взаємодія має пройти за лічені секунди.
У світі тисячі банків – емітентів і еквайєрів. Картка, за допомогою якої клієнт розраховується за пляшку води в Ніцці, може бути випущена десь в Австралії.
Для того, щоб банки могли зв’язатися між собою і існують такі платіжні системи, як Visa, MasterCard, та інші. Вони і є центрами обміну даними між банками.
Авторизація пройшла успішно, молодий чоловік отримав чек, взяв свою каву і пішов в офіс. Швидше за все, він думає, що з його рахунку вже списані гроші за каву, але це не зовсім так.
Насправді гроші ще не списуються з клієнтського рахунку і не передаються продавцю. У момент авторизації банк-емітент лише блокує необхідну суму, а банк-еквайєр отримує гарантію того, що ці гроші будуть перераховані.
Рух грошей почнеться набагато пізніше. Як правило, в кінці робочого дня починається фаза settlement, що в перекладі означає розміщення. В даному випадку – розміщення грошей.
Суть цієї операції полягає в тому, що банки-еквайєри і банки-емітенти обмінюються платежами за якийсь певний період часу. Зазвичай такий період – це один день. Фактично відбувається взаєморозрахунок між банками.
Останній етап – це кліринг. Він завершує платіж. В результаті банки обмінюються підтверджуючими електронними документами. Вони містять у собі перелік завершених транзакцій за кілька днів. При цьому фактично гроші списуються з рахунку клієнта і надходять на рахунок продавця.
Тепер уявіть собі, що кожна людина, що має в своєму гаманці кілька платіжних карток, генерує кілька таких операцій протягом дня.
Величезна кількість платежів за допомогою банківських карток створюють потоки обміну даними між банками покупців та банками продавців. Обмін цими даними і є процесинг.
Багато банків створюють свій власний процесинг, що вимагає часу і солідного фінансування. А інші банки вибирають більш простий шлях – підключатися до зовнішнього незалежного процесингового центру, що існує на ринку.
Очевидно, що безпека карткових даних вкрай важлива для процесингового центру. Злом процесингового центру може призвести до величезних фінансових втрат і зниження загальної довіри до карткових платежів.
Тому вимоги стандарту PCI DSS повинні обов’язково виконуватися як банками, так і процесинговими центрами!
Серед керівників банків існує помилкова думка, що якісний аудит і сертифікацію на відповідність стандарту PCI DSS неможливо пройти в Україні. Тому вони шукають партнерів за кордоном, але дуже часто стикаються з проблемами, які проявляють себе у вигляді того, що процедура сертифікації займає набагато більше часу і, як наслідок, її вартість зростає. Крім цього, виникає безліч незручностей для всього персоналу банку.
Наша компанія ІТ Спеціаліст пропонує повний комплекс послуг, пов’язаних з сертифікацією на відповідність стандарту PCI DSS саме в Україні.
Наші кращі фахівці в сфері сертифікації на відповідність стандарту PCI DSS завжди поруч. У будь-який момент часу ви можете приїхати в офіс, в центрі Києва, і отримати відповіді на всі питання, що стосуються сертифікації PCI DSS в Україні, з огляду на особливості українського способу ведення бізнесу і менталітету.
Також ви можете запросити наших фахівців в свій офіс для обговорення всіх процедур, необхідних для проходження сертифікації за стандартом PCI DSS в Україні.
Для процесингових центрів і банків вимоги стандарту PCI DSS найбільш обширні та суворі.
Вимоги припускають такі заходи безпеки, як:
Надійне шифрування всіх даних при зберіганні та передачі.Захист приміщень, в яких знаходиться обладнання, що обробляє дані власників карток, сервери і т.д. від фізичного та мережевого проникнення.Ретельний підбір персоналу, навчання та атестація.Розробка системи правил, положень, процедур, інструкцій для штатних і позаштатних ситуацій.Це далеко не повний список!
Молодий чоловік з кавою невипадково з’явився в цій статті. Ми хотіли продемонструвати, як багато всіляких інструментів і процесів задіяно при звичайній купівлі ранкової кави.
Практично в кожній статті ми доносимо до читача одну і ту ж думку – електронні гроші стають дедалі популярнішими і популярнішими. Вони поступово витісняють готівку.
Процес розрахунків електронними грошима вимагає особливої ​​і постійної безпеки. Гарантувати таку безпеку можуть тільки ті організації, які відповідають всім вимогам стандарту PCI DSS.
Наша компанія протягом багатьох років надає послуги з підготовки сертифікації на відповідність стандарту PCI DSS великим банкам і процесинговим центрам. Ми проводимо консультування з усіх питань, пов’язаних з безпекою даних платіжних карт.
Наші клієнти отримують сертифікат PCI DSS і комплект документів, який підтверджує виконання всіх вимог даного стандарту.
Запрошуємо банки і процесингові центри пройти сертифікацію на відповідність стандарту PCI DSS в Україні, в місті Київ.