Блог

Що таке сертифікація PCI DSS, і навіщо вона потрібна для приймання платежів

22 лютого 2023 р.

Що таке сертифікація PCI DSS, і навіщо вона потрібна для приймання платежів #1

Онлайн-оплата картками на сайті вже не вважається чимось екстра. Це просто один з обов'язкових пунктів хорошого клієнтського сервісу в сегменті електронної комерції. Та й бізнесу не важко підключити онлайн-розрахунки: на ринку є широкий вибір платіжних сервісів з різним набором рішень хоч для невеликого Instagram-магазину, хоч для великого бізнесу.

Але так було не завжди. Щоб розрахунки картками у мережі стали звичною, а головне — безпечною справою, індустрії загалом довелося пройти низку трансформацій та запровадити загальні стандарти та протоколи роботи. Один із таких стандартів безпеки — PCI DSS. Про нього й поговоримо далі.

 

Що таке сертифікат PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) — це стандарт безпеки даних, прийнятий в індустрії платіжних карток. Його розробили та впровадили п'ять топових гравців ринку: Visa, Mastercard, American Express, Discover та JCB.

Як з'явився сертифікат 

Ситуація була така: кожна зі згаданих компаній мала свої процедури та вимоги до захисту даних, і вони досить різнилися. Через відсутність уніфікації та загальних вимог для всіх учасників ринку страждали користувачі: був високий ризик, що їхні дані потраплять до шахраїв. Стало очевидно, що для  подальшого розвитку індустрії, питання захисту даних необхідно вирішувати спільними зусиллями.

Так, у 2006 році ці 5 платіжних систем обʼєдналися та створили спеціальну раду з безпеки Payment Card Industry Security Standards Council. Він і зайнявся розробкою єдиних базових принципів менеджменту карткових даних, що тепер відомі як Payment Card Industry Data Security Standard. PCI DSS регламентує необхідні безпекові заходи й допомагає знизити рівень шахрайства та витоку даних у всій платіжній екосистемі.
 

Що саме регламентує PCI DSS, і хто йому повинен відповідати

PCI DSS — це глобальний стандарт для всіх організацій, які зберігають, обробляють та передають дані платіжних карток або іншу конфіденційну інформацію, пов'язану з автентифікацією користувачів/платежів. Тобто будь-яка організація, яка приймає або опрацьовує платіжні картки, повинна проходити сертифікацію на відповідність загальноприйнятим вимогам індустрії.

Здійснює перевірку незалежна аудиторська компанія, яка має спеціальну акредитацію. Потім документи з результатами перевірки аудитор надсилає до однієї з платіжних систем, де його акредитовано. Такі компанії є і в Україні, тому за потреби знайти аудитора — не проблема, вартість послуг з аудиту для кожної організації розраховується індивідуально.

Сам стандарт — це досить об'ємний документ на понад 1000 сторінок. У ньому описані 300+ критеріїв відповідності, які стосуються різних аспектів інформаційної безпеки. Усі вони згруповані за 12 основними пунктами вимог.

Що таке сертифікація PCI DSS, і навіщо вона потрібна для приймання платежів #2

Проте, не кожній організації потрібно відповідати всім 300+пунктам: набір вимог буде відрізнятися залежно від рівня сертифікації, на який претендує компанія.

Усього є чотири рівні сертифікації, вони визначаються щорічним обсягом платежів:

  • Level 1 — компанія обробляє понад 6 млн транзакцій;
  • Level 2 — для тих, хто обробляє від 1 до 6 млн;
  • Level 3 — від 20 тис. до 1 млн;
  • Level 4 — до 20 тис. операцій.

Тобто чим більше транзакцій має організація, тим вищий рівень сертифікату і, відповідно, більше вимог.

Наприклад, Interkassa, як платіжний сервіс, який щомісяця обробляє понад 6 млн платежів, має перший рівень сертифікації. Це означає, що ми щороку проходимо аудит та атестацію й за їх результатами отримуємо Attestation of Compliance. Цей документ підтверджує, що наша система безпеки та антифроду відповідає найкращим практикам індустрії.

 

Чи потрібний вашому бізнесу PCI, щоб приймати платежі від клієнтів?

Вище ми говорили про те, що під сертифікацію потрапляють усі організації, які працюють із картковими даними. І тут у власників онлайн-бізнесу може виникнути закономірне питання: "Якщо я підключаю оплату картками на сайт, то потрібно проходити сертифікацію?". Найчастіше — ні, якщо ви працюєте через платіжного провайдера, як Interkassa.

Однак, трапляються випадки, коли бізнес повинен проходити PCI DSS. Подивімося на кілька таких ситуацій: 

  • Компанія не хоче делегувати приймання платежів сторонньому провайдеру. Це актуально для великих проєктів: у них багато клієнтів, великий оборот, і в довгостроковій перспективі їм вигідніше збудувати свою платіжну систему, аніж платити комусь комісію.
  • Бізнес працює з платіжним сервісом за такою моделлю: карткові дані клієнтів компанія збирає сама і потім передає їх провайдеру для проведення платежу.

Отже, якщо ви вирішуєте розробити свою систему платежів або приймаєте оплату через партнерський сервіс, але при цьому збираєте/зберігайте/передаєте карткові дані, то вашому бізнесу потрібно проходити сертифікацію.

Коли ж ви просто підключаєте оплату картками на сайт через платіжний сервіс, саме він і несе відповідальність за безпеку даних банківських карток. В цьому випадку з вашого боку потрібно мінімум дій:

  • Переконайтеся, що вибраний сервіс має сертифікат PCI DSS.
  • Підготуйте свій сайт до підключення оплати: у кожного платіжного провайдера є низка вимог до онлайн-продавців, зокрема й у нас. З основних — сайт має бути справним, підтримувати SSL-протокол і давати повну інформацію про продавця та продукт. З повним списком ви можете ознайомитись у розділі “Вимоги до продавця”.

Interkassa дає можливість приймати оплату через платіжну сторінку або форму, яку можна додати безпосередньо на ваш сайт. Незалежно від обраного рішення, ви можете бути впевнені в платіжній безпеці: ваші клієнти можуть без побоювання робити онлайн-покупки, а ви — не витрачати час і ресурс на додаткові заходи захисту.

Якщо ви хочете більше дізнатися про нашу систему безпеки, платіжні методи або послуги для приймання платежів, напишіть команді підтримки на [email protected].  

Faq

Скільки коштує сертифікація pci dss?

Вартість послуги встановлюється для компаній-заявників в індивідуальному порядку. Загалом, мінімальна оплата сертифікації складає $300. Такий тариф діє для малого бізнеса. Для великих компаній і $10 000 не є граничною сумою. 
 

Хто видає сертифікат pci dss?

Цим займаються кваліфіковані аудитори. Вони знаються на всіх 300+ пунктах, яким має відповідати бізнес, котрий планує отримати сертифікат PCI DSS. 
 

Як перевірити сертифікат pci dss?

Зазвичай валідність сертифікатів можна перевірити на сайтах компаній-аудиторів, також організації можуть розмістити на своєму сайті скан сертифіката. Іноді на сайтах сертифікованого бізнесу є пряме посилання на сайт компанії-аудитора, де вказано, до якої дати дійсний документ. 
 

Кому потрібен сертифікат pci dss?

Всім компаніям, котрі приймають платежі за допомогою банківських карток. Тобто, якщо організація зберігає, обробляє та передає дані платіжних карток Visa, Mastercard, American Express, Discover та JCB, вона має відповідати стандарту PCI DSS.