Блог

Что такое сертификация PCI DSS, и зачем она нужна для приема платежей

22 февраля 2023 г.

Что такое сертификация PCI DSS, и зачем она нужна для приема платежей  #1

Онлайн-оплата картами на сайте уже не считается чем-то экстра. Это просто один из обязательных пунктов хорошего клиентского сервиса в сегменте электронной коммерции. Да и бизнесу не составляет особого труда подключить онлайн-расчеты: на рынке есть широкий выбор платежных сервисов с разным набором решений хоть для небольшого Instagram-магазина, хоть для крупного бизнеса.

Но так было не всегда. Чтобы расчеты картами в сети стали привычным, а главное — безопасным делом, индустрии в целом пришлось пройти ряд трансформаций и внедрить общие стандарты и протоколы работы. Один из таких стандартов безопасности — PCI DSS. О нем и поговорим далее.

 

Что такое сертификат PCI DSS 

Payment Card Industry Data Security Standard (PCI DSS) — это стандарт безопасности данных, принятый в индустрии платежных карт. Его разработали и внедрили пять топовых игроков рынка: Visa, Mastercard, American Express, Discover и JCB. 

Как появился сертификат 

Ситуация была такая: у каждой из упомянутых компаний были свои процедуры и требования к защите данных, и они достаточно разнились. Из-за отсутствия унификации и общих требований для всех участников рынка страдали пользователи: был высокий риск, что их данные попадут к мошенникам. Стало очевидно, что для дальнейшего развития индустрии, вопрос защиты данных нужно решать общими усилиями.

Так, в 2006 году эти 5 платежных систем скооперировались и создали специальный совет по безопасности Payment Card Industry Security Standards Council (PCI SSC). Он и занялся разработкой единых базовых принципов менеджмента данных, что теперь известно как Payment Card Industry Data Security Standard. PCI DSS регламентирует необходимые меры защиты и помогает снизить уровень мошенничества и утечки данных во всей платежной экосистеме. 

Что именно регламентирует PCI DSS, и кто ему должен соответствовать 

PCI DSS — это глобальный стандарт для всех организаций, которые хранят, обрабатывают и передают данные платежных карт или другую конфиденциальную информацию, связанную с аутентификацией пользователь/платежей. То есть любая организация, которая принимает или обрабатывает платежные карты, должна проходить сертификацию на соответствие общепринятым требованиям индустрии.  

Проводит проверку независимая аудиторская компания, которая имеет специальную аккредитацию. Затем документы с результатами проверки аудитор отправляет в одну из платежных систем, где он аккредитован. Такие компании есть в Украине, поэтому при необходимости найти аудитора — не проблема, стоимость услуг для каждой организации просчитывается индивидуально.

Сам стандарт — это достаточно объемный документ на больше чем 1000 страниц. В нем описанные 300+ критериев соответствия, которые касаются разных аспектов информационной безопасности. Все они сгруппированы по 12 основным пунктам требований. 

Что такое сертификация PCI DSS, и зачем она нужна для приема платежей  #2

Однако, не каждой организации нужно соответствовать абсолютно всем 300+пунктам: набор требований будет отличаться в зависимости от уровня сертификации, на который претендует компания.

Всего есть четыре уровня сертификации, они определяются ежегодным объемом платежей: 

  • Level 1 — компания обрабатывает более 6 млн транзакций; 
  • Level 2 — для тех, кто обрабатывает от 1 до 6 млн;
  • Level 3 — от 20 тыс. до 1 млн;
  • Level 4 — до 20 тыс. операций.

То есть, чем больше транзакций обрабатывает организация, тем выше уровень сертификата и, соответственно, больше требований.

Например, Interkassa, как платежный сервис, который ежемесячно обрабатывает более 6 млн платежей, имеет первый уровень сертификации. Это значит, что мы каждый год проходим аудит и аттестацию и по их результатам получаем Attestation of Compliance. Этот документ подтверждает, что наша система безопасности и антифрода соответствует лучшим практикам индустрии.

 

Нужен ли вашему бизнесу PCI, чтобы принимать платежи от клиентов? 

Выше мы говорили о том, что под сертификацию попадают все организации, которые работают с карточными данными. И тут у владельцев онлайн-бизнеса может возникнуть закономерный вопрос: “Если я подключаю оплату картами на сайт, то значит нужно проходить сертификацию?”.  В большинстве случаев — нет, если вы работаете через платежного провайдера, как Interkassa.

Однако, бывают случаи, когда бизнес должен проходить PCI DSS. Давайте посмотрим, на несколько таких ситуаций. 

  • Компания не хочет делегировать прием платежей стороннему провайдеру. Это актуально для крупных проектов: у них много клиентов, большой оборот, и в долгосрочной перспективе им выгоднее построить свою систему приема платежей, чем платить кому-то комиссию. 
  • Бизнес работает с платежным сервисом по такой модели: карточные данные клиентов компания собирает сама и потом передает их провайдеру для проведения платежа.

То есть, если вы решаете разработать свою систему платежей или принимаете оплату через партнерский сервис, но при этом собираете/храните/передаете карточные данные, то вашему бизнесу нужно проходить сертификацию.

Когда же вы просто подключаете оплату картами на сайт через платежный сервис, то именно он и несет ответственность за безопасность данных банковских карт. В этом случае с вашей стороны нужно минимум действий:

  • Убедиться, что выбранный сервис имеет сертификат PCI DSS.
  • Подготовить свой сайт к подключению оплаты: у каждого платежного провайдера есть ряд требований к онлайн-продавцам, в том числе и у Interkassa. Из основных — сайт должен быть рабочим, поддерживать SSL-протокол и давать полную информацию о продавце и продукте. С полным списком вы можете ознакомиться в разделе “Требования к продавцу”.

Interkassa дает возможность принимать оплату через платежную страницу или форму, которую можно добавить непосредственно на ваш сайт.  Вне зависимости от выбранного решения, вы можете быть уверены в безопасности оплаты: ваши клиенты могут без опасения делать онлайн-покупки, а вы — не тратить время и ресурс на дополнительные меры защиты.

Если вы хотите побольше узнать о нашей системе безопасности, платежных методах или сервисах для приема платежей, напишите команде поддержки на [email protected]