Онлайн-оплата картами на сайте уже не считается чем-то экстра. Это просто один из обязательных пунктов хорошего клиентского сервиса в сегменте электронной коммерции. Да и бизнесу не составляет особого труда подключить онлайн-расчеты: на рынке есть широкий выбор платежных сервисов с разным набором решений хоть для небольшого Instagram-магазина, хоть для крупного бизнеса.
Но так было не всегда. Чтобы расчеты картами в сети стали привычным, а главное — безопасным делом, индустрии в целом пришлось пройти ряд трансформаций и внедрить общие стандарты и протоколы работы. Один из таких стандартов безопасности — PCI DSS. О нем и поговорим далее.
Что такое сертификат PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) — это стандарт безопасности данных, принятый в индустрии платежных карт. Его разработали и внедрили пять топовых игроков рынка: Visa, Mastercard, American Express, Discover и JCB.
Как появился сертификат
Ситуация была такая: у каждой из упомянутых компаний были свои процедуры и требования к защите данных, и они достаточно разнились. Из-за отсутствия унификации и общих требований для всех участников рынка страдали пользователи: был высокий риск, что их данные попадут к мошенникам. Стало очевидно, что для дальнейшего развития индустрии, вопрос защиты данных нужно решать общими усилиями.
Так, в 2006 году эти 5 платежных систем скооперировались и создали специальный совет по безопасности Payment Card Industry Security Standards Council (PCI SSC). Он и занялся разработкой единых базовых принципов менеджмента данных, что теперь известно как Payment Card Industry Data Security Standard. PCI DSS регламентирует необходимые меры защиты и помогает снизить уровень мошенничества и утечки данных во всей платежной экосистеме.
Что именно регламентирует PCI DSS, и кто ему должен соответствовать
PCI DSS — это глобальный стандарт для всех организаций, которые хранят, обрабатывают и передают данные платежных карт или другую конфиденциальную информацию, связанную с аутентификацией пользователь/платежей. То есть любая организация, которая принимает или обрабатывает платежные карты, должна проходить сертификацию на соответствие общепринятым требованиям индустрии.
Проводит проверку независимая аудиторская компания, которая имеет специальную аккредитацию. Затем документы с результатами проверки аудитор отправляет в одну из платежных систем, где он аккредитован. Такие компании есть в Украине, поэтому при необходимости найти аудитора — не проблема, стоимость услуг для каждой организации просчитывается индивидуально.
Сам стандарт — это достаточно объемный документ на больше чем 1000 страниц. В нем описанные 300+ критериев соответствия, которые касаются разных аспектов информационной безопасности. Все они сгруппированы по 12 основным пунктам требований.
Однако, не каждой организации нужно соответствовать абсолютно всем 300+пунктам: набор требований будет отличаться в зависимости от уровня сертификации, на который претендует компания.
Всего есть четыре уровня сертификации, они определяются ежегодным объемом платежей:
- Level 1 — компания обрабатывает более 6 млн транзакций;
- Level 2 — для тех, кто обрабатывает от 1 до 6 млн;
- Level 3 — от 20 тыс. до 1 млн;
- Level 4 — до 20 тыс. операций.
То есть, чем больше транзакций обрабатывает организация, тем выше уровень сертификата и, соответственно, больше требований.
Например, Interkassa, как платежный сервис, который ежемесячно обрабатывает более 6 млн платежей, имеет первый уровень сертификации. Это значит, что мы каждый год проходим аудит и аттестацию и по их результатам получаем Attestation of Compliance. Этот документ подтверждает, что наша система безопасности и антифрода соответствует лучшим практикам индустрии.
Нужен ли вашему бизнесу PCI, чтобы принимать платежи от клиентов?
Выше мы говорили о том, что под сертификацию попадают все организации, которые работают с карточными данными. И тут у владельцев онлайн-бизнеса может возникнуть закономерный вопрос: “Если я подключаю оплату картами на сайт, то значит нужно проходить сертификацию?”. В большинстве случаев — нет, если вы работаете через платежного провайдера, как Interkassa.
Однако, бывают случаи, когда бизнес должен проходить PCI DSS. Давайте посмотрим, на несколько таких ситуаций.
- Компания не хочет делегировать прием платежей стороннему провайдеру. Это актуально для крупных проектов: у них много клиентов, большой оборот, и в долгосрочной перспективе им выгоднее построить свою систему приема платежей, чем платить кому-то комиссию.
- Бизнес работает с платежным сервисом по такой модели: карточные данные клиентов компания собирает сама и потом передает их провайдеру для проведения платежа.
То есть, если вы решаете разработать свою систему платежей или принимаете оплату через партнерский сервис, но при этом собираете/храните/передаете карточные данные, то вашему бизнесу нужно проходить сертификацию.
Когда же вы просто подключаете оплату картами на сайт через платежный сервис, то именно он и несет ответственность за безопасность данных банковских карт. В этом случае с вашей стороны нужно минимум действий:
- Убедиться, что выбранный сервис имеет сертификат PCI DSS.
- Подготовить свой сайт к подключению оплаты: у каждого платежного провайдера есть ряд требований к онлайн-продавцам, в том числе и у Interkassa. Из основных — сайт должен быть рабочим, поддерживать SSL-протокол и давать полную информацию о продавце и продукте. С полным списком вы можете ознакомиться в разделе “Требования к продавцу”.
Interkassa дает возможность принимать оплату через платежную страницу или форму, которую можно добавить непосредственно на ваш сайт. Вне зависимости от выбранного решения, вы можете быть уверены в безопасности оплаты: ваши клиенты могут без опасения делать онлайн-покупки, а вы — не тратить время и ресурс на дополнительные меры защиты.
Если вы хотите побольше узнать о нашей системе безопасности, платежных методах или сервисах для приема платежей, напишите команде поддержки на [email protected].
