16.06.2020
За последние несколько лет приобрела популярность технология выпуска виртуальных платёжных карт. Как правило, эти карточки предназначены для проведения оплат в сети Интернет, и они не имеют физического носителя - пластика.
Что такое виртуальная карта? Это индивидуальные данные:● Номер карты;● Срок действия карты;● Код авторизации СVV2.
Этих данных достаточно для того, чтобы использовать такую карту в интернете, в мобильных приложениях и даже в реальных магазинах с помощью технологий Google Pay и Apple Pay.
Виртуальные карты становятся всё популярней и популярней, потому что они предоставляют целый ряд удобств и преимуществ: ● Скорость получения карты;● Нет надобности ехать в банк для получения карты;● Внесение и снятие денег очень упрощено;● Виртуальные карты позволяют защитить основной банковский счёт от мошенников, которые могут украсть данные в интернете;● На виртуальных картах установлен очень низкий лимит по размеру операций и у них очень небольшой срок жизни – от нескольких месяцев до года.
Во всём мире набирает популярность новый формат розничного банкинга – онлайн-банкинг. Это банки, которые не имеют отделений, предоставляют доступ клиентам к своим услугам только через интернет и выпускают преимущественно виртуальные карты. Пример в Украине - это Monobank.
Большие, системные, имеющие огромную сеть отделений, банки также развивают свой портфель приложений по использованию виртуальных карт.
Во время такого стремительного развития новых технологий у представителей банков и их клиентов возникает вопрос: какие требования стандарта PCI DSS необходимо выполнять, чтобы пользование виртуальными картами было безопасным?
При построении бизнес-процесса по выпуску, передаче и уничтожению виртуальных карт, прежде всего, необходимо позаботиться о защите данных от утечки или кражи. 
Для этого необходимо выполнить несколько условий:● Номер карты при хранении в банковских системах и мобильных приложениях должен быть зашифрован;● При отображении номера карты на экранах клиента, кассира, операторов банка, а также при печати на чеках и квитанциях его необходимо маскировать. Это значит, что символы номеров с 7-го по 12-й должны быть заменены звёздочками, крестиками или другими знаками, скрывающими настоящий номер;● Проверочный код СVV2 запрещено хранить в каких-либо банковских системах или приложениях. После создания кода СVV2, обычно это происходит в момент выпуска карты, его нужно передать клиенту. После этого информация о СVV2 из систем банка должна быть удалена. Клиент сам должен позаботиться о надёжном хранении или запоминании этого номера;● Для обмена данными карт между банком, клиентом и торговцем должны использоваться только шифрованные соединения. Например, запрещается отправлять номер карты или СVV2 через SMS. Это основные требования, которые касаются виртуальных карт и защищают от утечки или кражи данных. Важно помнить, что даже выполнение всех требований не даёт 100% гарантии безопасности. 
PCI DSS – это комплексный стандарт безопасности. Кроме требований к технологиям обработки, передачи и хранения данных, он выдвигает требования к бизнес-процессам банка, а также подбору и обучению персонала. Стандарт уделяет особое внимание внедрению корпоративных правил, политик и процедур. Требований достаточно много, и для разного сектора и масштаба бизнеса они разные.
Самый простой и безопасный путь для всех, кто планирует использовать виртуальные платёжные карты - обратиться за консультацией к экспертам в сфере сертификации по стандарту PCI DSS. Быстрая и информативная консультация даст ответы на все вопросы и станет базой для составления плана действий.
Компания IT Specialist проводит для своих клиентов бесплатное обучение по всем требованиям стандарта PCI DSS и помогает выполнить все требования для успешной сертификации по данному стандарту.
Связывайтесь с нашими консультантами прямо сейчас и получите полную информацию о безопасном использовании виртуальных платёжных карт.