15.10.2019
W tym artykule omówimy, jak VISA i MasterCard monitorują zgodność uczestników tych systemów płatniczych z wymaganiami PCI DSS.
Przez długi czas panowało przekonanie, że standardowi temu muszą sprostać wyłącznie duże banki i centra przetwarzania.
Możliwość powstania tego błędu wynikała z tego, że VISA i MasterCard przez długi czas nie zwracały uwagi na certyfikację przedsiębiorstw handlowo-usługowych, skupiając się wyłącznie na dużych graczach na rynku.
Sytuacja ta zmieniła się w ostatnich kilku latach. Banki przeszły certyfikację zgodnie ze standardem PCI DSS i podniosły ochronę danych kart płatniczych do wymaganego poziomu. Jednakże zagrożenie dla systemów płatniczych nadal istnieje. W najbliższym czasie sieci handlowe, duże dostawcze firmy usługowe oraz platformy płatności online muszą być gotowe na zwiększone zainteresowanie ze strony VISA i MasterCard. Z tego powodu certyfikacja zgodnie ze standardem PCI DSS będzie coraz bardziej pożądana.
Oczywiście, przedstawiciele VISA i MasterCard nie mogą bezpośrednio odwiedzać firm, dlatego pojawia się pytanie: jak sprawdzana jest obecność certyfikatu? I w jaki sposób system płatniczy będzie wymagał zgodności z PCI DSS od handlowców?
VISA i MasterCard stworzyły bardzo podobne systemy nadzoru, aby firmy korzystające z tych systemów płatniczych spełniały wszystkie wymagania standardu PCI DSS. Banki-akwizytorzy kontrolują, aby wszystkie firmy podłączające się do systemów płatniczych spełniały wymagania standardu PCI DSS.
Każdy bank musi co najmniej raz w roku przedstawiać szczegółowe raporty o przejściu certyfikacji dla VISA i MasterCard. Dodatkowo muszą zgłaszać wszelkie przypadki wycieku danych kart płatniczych z infrastruktury informatycznej handlowców.
Dlatego hotele, sklepy internetowe, stacje paliw i inne rodzaje biznesu muszą być przygotowane na to, że bank, przez który przeprowadzane są płatności klientów, będzie wymagał środków ochrony danych kart płatniczych. Innymi słowy, banki będą wymagały obecności certyfikatu zgodnie ze standardem PCI DSS.
Firmy handlowe mogą różnić się pod względem wielkości, obrotu finansowego i ilości operacji. Dlatego wyróżnia się cztery poziomy zgodności ze standardem PCI DSS dla handlowców:
Jeśli firma przetwarza 6 milionów i więcej transakcji kartami płatniczymi w ciągu roku, należy do pierwszego poziomu. Bank będzie wymagał przeprowadzenia pełnej audytu i przedstawienia raportu o zgodności ze standardem PCI DSS podpisane przez zewnętrznego audytora QSA.
Jeśli przez firmę przechodzi od 1 miliona do 6 milionów transakcji, należy do drugiego poziomu. Na żądanie banku przedstawiciele firmy muszą dostarczyć wypełniony kwestionariusz samoopisowy i certyfikat zgodności ze standardem PCI DSS.
Większość firm przetwarza od 10 tysięcy do 1 miliona transakcji rocznie i należy do trzeciego poziomu. Dla tego poziomu ważne jest coroczne wypełnianie kwestionariusza samoopisowego i przeprowadzanie skanowania podatności przez jedną z akredytowanych firm ASV. W przeciwieństwie do drugiego poziomu, te firmy nie są zobowiązane do składania dokumentów potwierdzających zgodność ze standardem PCI DSS. Jednak bank może podjąć decyzję i nalegać na dostarczenie certyfikatu zgodności. To zależy od decyzji banku, a systemy płatnicze VISA i MasterCard nie narzucają tego wymogu.
Firmy, które przetwarzają do 20 tysięcy transakcji rocznie, mogą nie składać żadnych sprawozdań zgodnie z PCI DSS. Te firmy należą do czwartego poziomu. Banki nie kontrolowały ich do 31 marca 2019 roku. Po tej dacie banki zaczęły wymagać od firm wypełniania kwestionariusza i dostarczania certyfikatu zgodności.
Często ukraińskie banki zwracają się do naszej firmy o porady dotyczące wypełniania dokumentów raportowych dla VISA i MasterCard. Podobne konsultacje dla banków są bezpłatne. 
Oprócz ogólnych informacji dotyczących liczby handlowców każdego poziomu, obsługiwanego przez bank, przekazuje się płatniczym systemom następujące dane:● Ogólna liczba operacji kartami płatniczymi w minionym roku finansowym;● Poziom zgodności (od 1 do 4) każdego handlowca. Ten poziom jest ustalany przez bank na podstawie liczby transakcji;● Informacje na temat przechowywania przez handlowca danych autentykacyjnych kart: PIN, CVV2 i CVC2;● Obecność certyfikowanych wewnętrznych audytorów w sprawdzanej firmie;● Czy w ciągu roku przeprowadzono audyt PCI DSS w firmie;● Typ ankiety, którą firma wypełniła w celu potwierdzenia zgodności. Ogółem istnieje 7 typów ankiet danych.● Czy firma przeprowadzała kwartalne skanowanie podatności;● Czy w ciągu roku wystąpiły incydenty związane z włamaniem i wyciekiem danych kart płatniczych;● Termin ważności certyfikatu PCI DSS;● Liczba transakcji w ciągu roku dokonanych za pomocą chipa EMV.
Warto zwrócić szczególną uwagę na to, że banki pytają i raportują o przechowywaniu danych autentykacyjnych kart. Przechowywanie takich informacji jest zabronione. Jeśli bank stwierdzi, że takie dane są przechowywane, może to spowodować problemy z przetwarzaniem transakcji przez firmę.
Również istotne są informacje dotyczące incydentów związanych z włamaniem i wyciekiem danych kart płatniczych. Jeśli takie sytuacje miały miejsce, firma automatycznie przechodzi na pierwszy poziom niezależnie od liczby transakcji.
Podsumowując wszystko powyższe:● Przedstawiciele biznesu muszą zrozumieć, że uwaga ze strony systemów płatniczych będzie wzrastać, a zgodność z wymaganiami standardu PCI DSS to konieczność!● Kwestie związane z certyfikacją zgodnie ze standardem PCI DSS i komunikacją między systemami płatniczymi a bankiem-akwizytorem mogą rodzić wiele pytań i problemów.● Nie warto tracić czasu ani przedstawicielom biznesu, ani przedstawicielom banków. Wszystko, co związane z certyfikacją zgodnie ze standardem PCI DSS, należy powierzyć profesjonalistom.
Firma „IT Specіalist” - lider na rynku, oferująca pełen zakres usług z zakresu certyfikacji PCI DSS.
Oczekujemy przedstawicieli biznesu i banków na bezpłatnych konsultacjach wstępnych