Внимание! Русскоязычная версия сайта предназначена для партнёров из Казахстана, Узбекистана, Грузии, Азербайджана, Киргизии. С компаниями из рф мы не сотрудничаем!

Illustration

Как платёжные системы контролируют соответствие стандарту PCI DSS?

15.10.2019
В этой статье мы поговорим о том, как VISA и MasterCard следят за тем, чтобы участники этих платёжных систем соответствовали требованиям стандарта PCI DSS.
Долгое время было популярно мнение, что соответствовать стандарту необходимо исключительно крупным банкам и процессинговым центрам.
Возникновение этого заблуждения стало возможным потому, что VISA и MasterCard долгое время не обращали внимания на сертификацию торгово-сервисных предприятий, фокусируясь исключительно на крупных игроках рынка. 
Ситуация изменилась за последние пару лет. Банки прошли сертификацию по стандарту PCI DSS и подняли до необходимого уровня защиту данных платёжных карт. Но угроза для платёжных систем остаётся. В ближайшее время торговым сетям, крупным сервис-провайдерам, онлайновым платёжным системам нужно быть готовым к тому, что внимание со стороны VISA и MasterCard будет усиливаться. Так что сертификация по стандарту PCI DSS будет всё больше и больше востребована.
Очевидно, что напрямую прийти в компанию представители VISA и MasterCard не могут, поэтому возникает вопрос: как проверяется наличие сертификата? И как может платёжная система требовать соответствия PCI DSS от торговцев?
VISA и MasterCard выстроили очень похожие системы надзора за тем, чтобы компании, использующие эти платёжные системы, соответствовали всем требованиям стандарта PCI DSS. Банки-эквайеры осуществляют контроль над тем, чтобы все предприятия, которые подключаются к платёжным системам, имели соответствие стандарту PCI DSS. 
Каждый банк обязан не реже чем раз в год подавать для VISA и MasterCard развёрнутые отчёты о прохождении торговцами сертификации. А также сообщать обо всех фактах утечки карточных данных из ИТ-инфраструктуры торговцев.
Поэтому всем отелям, онлайн-магазинам, автозаправкам и другим видам бизнеса необходимо быть готовым к тому, что банк, через который осуществляются платежи клиентов, будет предъявлять требования по защите карточных данных. Другими словами, банки будут требовать наличие сертификата по стандарту PCI DSS.
 Торговые компании могут отличаться по размеру, иметь разный оборот денежных средств и проводить разное количество операций. Поэтому, выделяют четыре уровня соответствия стандарту PCI DSS для торговцев:1. Если компания в течение года обрабатывает 6 млн и более транзакций по платёжным картам, она относится к первому уровню. Банк потребует прохождения полного аудита и предоставления отчёта о соответствии PCI DSS с подписью внешнего QSA-аудитора.2. В случае, когда через компанию проходит от 1 млн до 6 млн транзакций, она относится ко второму уровню. По запросу банка представители компании обязаны предоставить заполненную самоопросную анкету и аттестат соответствия стандарту PCI DSS.3. Самое большое количество компаний проводят от 10 тыс до 1 млн транзакций в год, и относятся к третьему уровню. Для этого уровня важно раз в год заполнять самоопросную анкету и проводить сканирование уязвимостей в одной из аккредитованных ASV-компаний. В отличие от второго уровня, данные компании не обязаны представлять документы о соответствии PCI DSS. Но банк может принять решение и настоять на предоставлении аттестата соответствия. Это только решение банка, а платёжные системы VISA и MasterCard не настаивают на этом.4. Компании, которые проводят до 20 тыс транзакций в течение года, могут не подавать какую-либо отчётность по PCI DSS. Эти компании относятся к четвёртому уровню. Банки не проводили их контроль до 31/03/2019 года. После этой даты банки начали требовать от компаний заполнения анкеты и предоставления аттестата соответствия.
В нашу компанию часто обращаются украинские банки за консультациями по заполнению отчётных документов для VISA и MasterCard. Подобные консультации для банков проводятся бесплатно.
Кроме общей информации о количестве торговцев каждого уровня, которые обслуживаются, банк передаёт платёжным системам следующие данные:● Общее количество операций по платёжным картам за прошедший финансовый год;● Уровень соответствия (от 1-го до 4-го) каждого торговца. Этот уровень должен определить сам банк по количеству транзакций;● Информацию о том, хранятся ли на стороне торговца аутентификационные данные карт: пинкод, CVV2 и CVC2;● Наличие в проверяемой компании сертифицированных внутренних аудиторов;● Проводился ли в компании в течение года аудит PCI DSS;● Тип анкеты, который компания заполнила для подтверждения соответствия. Всего существует 7 типов данных анкет.● Проводила ли компания ежеквартальные сканирования уязвимостей;● Были ли в течение года инциденты, связанные со взломом и утечкой карточных данных;● Срок действия сертификата PCI DSS;● Количество транзакций в течение года, которые проводились с использованием EMV-чипа.
Особое внимание стоит обратить на то, что банки запрашивают и подают отчёт о хранении аутентификационных данных карт. Хранить такую информацию запрещено. Если банк укажет, что такие данные хранятся, то это может вызвать проблемы с обработкой транзакций компании.
Также важными являются сведения об инцидентах, связанных со взломом и утечкой карточных данных. Если такие случаи происходили, компания автоматически переходит на первый уровень вне зависимости от количества транзакций.
Подытожим всё сказанное выше:● Представителям бизнеса необходимо понимать, что внимание со стороны платёжных систем будет увеличиваться, и соответствие требованиям стандарта PCI DSS — это необходимость!● Вопросы, связанные с сертификацией по стандарту PCI DSS, и коммуникации между платёжными системами и банком-эквайером могут вызвать ряд вопросов и проблем.● Не стоит тратить время ни представителям бизнеса, ни представителям банков. Все, что связано с сертификацией по стандарту PCI DSS необходимо доверить профессионалам. 
Компания «ИТ Специалист» – лидер на рынке по предоставлению полного перечня услуг по сертификации PCI DSS. 
Ждём представителей бизнеса и банков на первичных бесплатных консультациях. 

Остались вопросы?

Заполни форму обратной связи, и наши специалисты предоставят консультацию в ближайшее время.

Спасибо!

Мы свяжемся с вами в скором времени!

Can't send form.

Please try again later.

Made with