14.05.2019
В этой статье мы дадим подробный ответ на один очень распространённый вопрос, который задают нам клиенты из Украины, Европы и Азии. Вопрос звучит так: «На нашем сайте не хранятся данные платёжных карт, необходимо ли нашей компании проходить сертификацию по стандарту PCI DSS?»
С подобным вопросом к нам обращаются компании, продающие свои товары или услуги с помощью веб-сайтов. При этом платежи от клиентов принимаются следующим образом: во время оплаты компания-продавец перенаправляет покупателя на страницу платёжной площадки или платёжного сервиса. В качестве такой площадки может выступать веб-сайт банка или платёжного шлюза. Клиент вносит необходимую информацию и данные своей платёжной карты, и после этого происходит платёж. 
В подобных ситуациях поставщик товаров и услуг вообще не имеет дела с данными платёжных карт покупателей. Поэтому, очень естественно, что у представителей бизнеса возникает вопрос о надобности сертификата PCI DSS.
На самом деле то, что на сайте продавца не производится оплата, и данные платёжных карт не хранятся, очень хорошая практика по повышению уровня информационной безопасности своего бизнеса!
Вот один из примеров, который имел место в 2018 году. Хакеры взломали сайт www.myheritage.com.ua. Были украдены базы данных пользователей. Так как этот сайт продаёт услуги своим клиентам, были опасения, что хакеры могут завладеть ещё и данными платёжных карт. К счастью, злоумышленники не получили эти данные потому, что все платежи принимались с помощью стороннего платёжного сервиса.  
Давайте вспомним, в каких случаях требования PCI DSS необходимо выполнять!
В стандарте PCI DSS написано, что его требования относятся ко всем компаниям, которые хранят, передают и обрабатывают данные платёжных карт, а также могут влиять на их безопасность. 
Это значит, что даже если веб-сайт только перенаправляет покупателей на внешнюю страничку оплаты, он влияет на безопасность данных платёжных карт. Необходимо обеспечить безопасность такого перенаправления. Потому что в случае, если хакер взломает веб-сайт продавца, он сможет сделать так, что пользователи будут перенаправлены не на платёжную площадку, а на страницу, указанную хакером. Большинство покупателей не поймут, что происходит, введут свои данные и в результате деньги с карт будут украдены злоумышленниками.
Исходя из всего выше сказанного, можно дать ответ на вопрос, с которым обращаются в нашу компанию: если на сайте не хранятся данные платёжных карт, такой компании все равно необходимо пройти сертификацию по стандарту PCI DSS!
Понятно, что при использовании подобной модели приёма платежей, особой угрозы для платёжных систем не возникает. Поэтому процедура прохождения сертификации по стандарту PCI DSS максимально упрощена. 
Алгоритм прохождения такой упрощенной сертификации PCI DSS следующий:● Следует провести внешнее сканирование веб-сайта на предмет выявления уязвимостей. Для этого необходимо обратиться к сертифицированной ASV компании, обслуживающей тот регион, где находится бизнес, владеющий веб-сайтом. Для такого сканирования можно обратиться и в нашу компанию. Исходя из того, что у нас глобальное покрытие, мы можем провести необходимые работы для компании из любой страны.● Необходимо зайти на сайт PCI DSS и скачать шаблон самоопросной анкеты SAQ A. Данную анкету необходимо заполнить и поставить на ней подпись директора компании. ● На том же сайте PCI DSS скачать шаблон Attestation of Compliance for Self-Assessment Questionnaire A. Этот документ (аттестат) также необходимо заполнить и поставить подпись директора. При этом важно, чтобы сведения, которые будут в аттестате, не противоречили сведениям из ранее заполненной самоопросной анкеты.
Заполненный аттестат можно предоставлять платёжным системам и банкам. Во многих случаях этого достаточно. Но очень часто банки не доверяют самостоятельному заполнению и просят подтверждения от независимого аудитора QSA. По сути, банку необходимо иметь уверенность в правильном и безошибочном заполнении обоих документов. Как правило, внимание представителей банков сконцентрировано на аттестате соответствия PCI DSS.
Похожая ситуация с прохождением сертификации по стандарту PCI DSS возникает у дата-центров, которые также не работают с карточными данными, но отвечают за сохранность серверов своих клиентов, обрабатывающих такие данные.
Кроме дата-центров сертификацию по стандарту PCI DSS необходимо проходить компаниям в случае, если их сотрудники потенциально могут получить доступ к карточным данным. К таким компаниям относятся колл-центры, всевозможные техподдержки и различные виды ИТ-аутсорсинга. 
Компания «ИТ Специалист» разработает для вашего бизнеса оптимальный план для получения сертификата PCI DSS:• Заполним анкеты и аттестат;• Проведём ASV-сканирование;• Поставим подпись аудитора QSA;• Обеспечим получение сертификата PCI DSS.
Вашему бизнесу необходимо соответствовать стандарту PCI DSS? Вы на правильном пути! Воспользуйтесь формой обратной связи и получите первичную бесплатную консультацию.