Сертифікація по pci dss для рітейлера вигідна необхідність - deiteriy
Сертифікація по PCI DSS для рітейлера: вигідна необхідність
Популярність платежів по картах в сфері рітейлу вУкаіни помітно зростає. І хоча обсяг цього ринку ще дуже далекий від європейського і, тим більше, американського рівня, зарплатні проекти, ко-брендові і передплачені картки поступово роблять свою справу.
Стандарт PCI DSS зобов'язує кожну організацію, обробну дані з платіжних карт, такі як, наприклад номер карти, інформацію на магнітній смузі і ПІН-код, вживати певних заходів щодо їх захисту від компрометації.
Під вимоги PCI DSS потрапляють, насамперед, такі типи компаній, як банки, процесингові структури і торгово-сервісні підприємства, що приймають платежі за картками. Таким чином, стандарт поширюється практично на всю сферу рітейлу. Всі ці організації зобов'язані дотримуватися вимог стандарту і щорічно підтверджувати свою відповідність цим вимогам.
Зрозуміло, міжнародні платіжні системи не могли вимагати виконання вимог стандарту від всіх організацій відразу. Тому були розроблені спеціальні програми просування стандарту. На першому етапі відповідності зажадали від банків, які, в свою чергу, повинні були вимагати того ж від обслуговуваних ними в рамках еквайрингу торгово-сервісних підприємств.
Досягнення відповідності PCI DSS банками зайняло досить тривалий період і триває вУкаіни досі. Поки кількість сертифікованих за стандартом банків було незначним, для торгово-сервісних підприємств існував досить вільний період, коли формально відповідність від них було потрібно, але по факту не багато хто був про це навіть поінформовані з боку своїх банків.
На Заході цей період вже закінчився кілька років тому, і зараз основний ринок сертифікації по PCI DSS там складають саме торгово-сервісні підприємства, в тому числі середні і великі торгові мережі. Драйвер такого зростання різний в різних країнах. У Великобританії, наприклад, банки істотно знижують процентну ставку за еквайрингові послуги для компаній, які пройшли сертифікацію. У Фінляндії всі великі еквайєри вимагають відповідності, не залишаючи торгово-сервісним підприємствам вибору. У США цей ринок розвинений вже давно, і сертифікація там поставлена на потік.
Як отримати сертифікат
Приступаючи до підготовки до сертифікації торгово-сервісному підприємству варто, перш за все, визначитися, чи є у нього необхідність самостійно обробляти карткові дані.
Найчастіше пристрої для прийому платіжних карт - EFTPOS-термінали - надаються і обслуговуються банком-еквайром або процесінговими структурами, і підключаються по шифрованому каналу зв'язку через Інтернет прямо до процесингу банку. В цьому випадку, при правильній організації платіжного процесу, карткові дані не потрапляють в інформаційну інфраструктуру торгово-сервісного підприємства. При таких умовах до торгово-сервісному підприємству може бути застосовано лише відносно невелика кількість вимог стандарту, а основна робота по забезпеченню відповідності лягає на плечі банку.
Однак найчастіше буває так, що платіжний процес не відділений належним чином від інфраструктури магазину, і карткові дані потрапляють на його касове і серверне обладнання. Ми не раз стикалися з ситуацією, коли при наявності на касі EFTPOS-терміналу, наданого банком для зчитування карт, бізнес-процес організований таким чином, що карта прокочується по зчитувача, призначеному для роботи з дисконтними картами і вбудованому в сам касовий апарат. Це накладає на торгово-сервісне підприємство відповідальність за можливі витоки даних власників карток з його інформаційної інфраструктури.
У деяких випадках обробка карткових даних в інформаційній інфраструктурі торгово-сервісного підприємства може бути виправдана завданнями і специфікою бізнесу. Однак і тоді варто упевнитися в такої необхідності і прийняти рішення організувати безпеку даних або все ж перекласти цей обов'язок на свій банк-еквайєр.
Для комплексного вирішення завдань підготовки і сертифікації по PCI DSS консультаційні й аудиторські компанії - QSA-аудитори - пропонують готові пакети послуг. Стандартний проект з підготовки та сертифікації виглядає наступним чином.
На першому етапі консультант виконує попереднє обстеження сертифікується організації. В ході такого обстеження перевіряється відповідність інформаційної інфраструктури компанії кожної вимоги стандарту. За результатами складається звіт з переліком перевірених вимог і зазначенням виконаних і невиконаних вимог і описом відповідних причин.
За всіма невиконаним вимогам розробляється план робіт з інструкціями щодо їх виконання.
Консультантом також розробляються для сертифікується організації внутрішні нормативні документи, що регламентують процеси інформаційної безпеки - починаючи від політики інформаційної безпеки і закінчуючи інструкціями для співробітників і формами журналів реєстрації подій.
Після цього починається етап впровадження в торгово-сервісному підприємстві отриманих від консультанта рекомендацій і документів. Ці завдання можуть виконуватися як силами замовника, так і зовнішньої організацією, і саме від цього етапу найбільше залежить термін реалізації всього проекту.
Після того, як впровадження завершено, і компанія готова до перевірки відповідності, виконуються фінальні етапи проекту - сканування вразливостей інформаційної інфраструктури, тестування на проникнення і сертифікаційний аудит, за результатами якого компанії видається сертифікат відповідності PCI DSS.
Сертифікаційний аудит виконується тільки компаніями, що володіють спеціальним статусом - QSA-аудитор, що видаються регулятором галузі - Радою PCI SSC. Термін виконання всього проекту становить в середньому від 3 до 12 місяців, в залежності від складності продукції, що сертифікується інформаційної інфраструктури.
Які переваги принесе сертифікація PCI DSS рітейлерам?
Не варто забувати також про зниження ризиків, пов'язаних як зі штрафними санкціями за невідповідність стандарту, так і з шахрайством з платіжними картами і перспективою повернення незаконно списаних на користь продавця грошових коштів. Поки вУкаіни випадки спрацьовування цих ризиків вельми і вельми рідкісні, але якщо пам'ятати про те, що наш платіжний ринок повторює шлях Західного з відставанням в 2-3 роки, то значимість цього фактора буде постійно зростати.
Об'єднання проекту сертифікації торгово-сервісного підприємства по стандарту PCI DSS з заходами щодо підвищення лояльності покупців і спільними проектами з банками-партнерами здатне підвищити ефективність кожного з них.