PCI DSS – эти буквы знакомы, пожалуй, каждому, кто имеет отношение к электронной коммерции. Тем не менее, наши клиенты просят объяснить, что скрывается за этой аббревиатурой, зачем это нужно интернет-магазину, и нужно ли вообще.
PCI DSS- набор правил и требований для процессоров
PCI DSS расшифровывается как Payment Card Industry Data Security Standard, на русский язык можно перевести, как «Стандарт безопасности данных в индустрии платежных карт». Этот стандарт разрабатывается и поддерживается некоммерческой организацией под названием Payment Card Industry Security Standards Council. Или, говоря по-русски,«Совет по стандартам безопасности в индустрии платежных карт».
Совет был создан в 2006 году ведущими мировыми платежными системами и крупнейшими компаниями, работающими в сфере платежных карт и электронной коммерции.
Его основной задачей является анализ возникающих угроз и выработка единого максимального эффективного подхода к защите платежных данных (номера карты, CVV кода и т.д.) от хищения, компрометации и несанкционированного доступа на каждом этапе обработки карточного платежа.
Собственно, PCI DSS есть ничто иное, как набор правил и требований, обязательных к исполнению любой организацией, которая имеет непосредственный контакт с карточными данными. Эти правила и требования охватывают и регулируют достаточно широкий круг вопросов: от способов приема, обработки и хранения конфиденциальной информации платежной карты до организации внутренних процессов компании (например, процессоров электронных платежей таких как bePaid, (ООО«ИкомЧардж»)). Цель одна – не допустить компрометации карточных данных и свести эту вероятность к минимуму.
Заметим, что сам факт приема карт к оплате в интернет-магазине вовсе не означает непосредственный контакт магазина с карточными данными покупателя. Если для приема платежей используется платежная страница, предоставленная процессинговой компанией (с перенаправлением или с использованием iFrame и других технологий) и карточные данные не проходят через сетевую и техническую инфраструктуру интернет-магазина, у него не возникает обязанности по выполнению требований PCI DSS. За это отвечает процессинговая компания, обслуживающая прием платежей данного интернет-магазина.
Также хочется заметить, что сам по себе стандарт PCI DSS никак не защищает интернет-магазин от мошенничества. У него другие задачи.
Ответ интернет-продавцу
Нужно ли владельцу интернет-магазина задумываться о соответствии своего предприятия требованиям стандарта безопасности PCI DSS?
В современном мире электронной коммерции, где все вопросы, связанные с безопасностью, не только берут на себя, но и успешно решают специальные процессинговые компании, в этом нет необходимости.
Оно и к лучшему, так как выполнение всех требований стандарта PCI DSS – дело не простое и затратное во всех отношениях.
А вот убедиться в том, что выбранный вами процессор имеет сертификат соответствия стандарту PCI DSS будет не лишним. Наличие действующего сертификата как минимум говорит о серьезном подходе процессора к заботе о сохранности платежной информации ваших покупателей. К слову, сертификат соответствия выдается на 1 год, после чего вся процедура сертификации повторяется.
Проверить наличие действующего сертификата у той или иной процессинговой компании можно при помощи онлайн базы данных зарегистрированных поставщиков платежных услуг систем:
1.VISA http://www.visa.com/splisting/searchGrsp.do
2. MasterCard https://www.mastercard.com/us/company/en/docs/SP_Post_List.pdf
Необходимо отметить, что компания-процессор появляется в списках платежных систем в течение месяца после получения PCI DSS сертификата, но, при условии, что она зарегистрирована там банком-спонсором, т.е. эквайером. Например, ОАО «Беларусбанк» банк-спонсор bePaid.
А что же думать, если вы вдруг не нашли имя своего процессора в списках платежных систем?
И в этом случае можно найти объяснение. Ваш процессор электронных платежей арендует уже готовый процессинговый софт. Это один из вариантов организации бизнеса компании-процессора. Так как одно из требований регистрации — это наличие PCI DSS, то в случае аренды платежного шлюза, PCI DSS предоставляется компанией-поставщиком, а компания-процессор регистрируется по упрощенной схеме и отображается в строке «solicitor».
По такой схеме работает довольно много процессоров электронных платежей. Например, рижская компания eComCharge сдает в аренду свой платежный шлюз тем бизнесам, которые не хотят тратить время и средства на написание своей собственной системы, но имеют огромное желание работать в сфере e-commerce, поэтому и отдают всю техническую часть на аутсорсинг профессионалам.
Сертификация игроков белорусского e-commerce
В Беларуси банки-эквайеры обязаны отслеживать и отслеживают наличие сертификации стандарта PCI DSS у процессоров электронных платежей, с которыми они работают. В свою очередь, процессор обязан ежегодно предоставлять своему партнеру, банку-эквайеру, актуальный сертификат. Так что отечественный онлайн-бизнес может быть уверен, что процессор, с которым он заключил договор на обслуживание в Беларуси, соответствует принятому в платежной индустрии стандарту PCI DSS.
С уважением,
Команда bePaid
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.