pci approval number что это
Что такое PCI DSS и как соответствовать этому стандарту, принимая онлайн-платежи
Во многих странах организации, принимающие онлайн-оплату, обязаны регулярно проходить сертификацию на соответствие PCI DSS. И Россия — не исключение. Нужно ли проходить сертификацию вашей компании и как это делается — расскажем в этой статье.
Примерно каждые 39 секунд в мире совершается одна хакерская атака. Жертвами злоумышленников становятся не только крупные корпорации — более 40% кибератак направлены на малый бизнес. Чтобы усложнить работу мошенникам и хакерам, ИТ-индустрия разрабатывает специальные стандарты. Следование этим стандартам помогает компаниям защитить их инфраструктуру, сети и персональные данные пользователей. Например, данные клиентов Robokassa находятся в безопасности, потому что наш сервис соответствует требованиям стандарта PCI DSS.
Стандарту PCI DSS должны следовать все организации, которые хранят или передают данные хотя бы одной банковской карты. Он описывает меры для защиты таких данных и необходимые требования к ИТ-инфраструктуре компании.
Первую редакцию стандарта приняли Visa, MasterCard и несколько других американских платежных систем в 2004 году. На российский рынок PCI DSS пришел в 2006-м, после того, как его действие расширили на страны Центральной и Восточной Европы. Перевод документации на русский появился позднее — с выходом PCI DSS v2.0.
Стандарт не закреплен на законодательном уровне ни в одном государстве. Контроль осуществляют Visa и MasterCard — они отвечают за санкции и штрафы. Однако отдельные требования PCI DSS можно встретить в различных правовых документах. Так, американском штате Миннесота с 2007 года действует Plastic Card Security Act, запрещающий бизнесу хранение PIN-кодов карт клиентов. Если говорить о России, то стандарт во многом соответствует положению ЦБ РФ 382-П от 2012 года. Оно касается защиты информации при переводе денежных средств.
Требования стандарта
PCI DSS предъявляет двенадцать основных требований безопасности. Их можно объединить в шесть групп. Компании, внедрившие стандарт, обязаны:
Защищать корпоративные сети. Настроить файрволы и заменить все пароли, установленные производителем сетевого оборудования.
Защищать данные карт. Внедрить шифрование и осуществлять передачу данных карт по сети с помощью протокола TLS 1.1 (или выше).
Своевременно закрывать уязвимости. Устанавливать обновления для используемых программ и корпоративных антивирусов.
Контролировать доступ к хранилищу. Ограничить круг сотрудников, имеющих доступ к месту физического хранения данных.
Установить политики информационной безопасности. Проверить соответствие им и продумать алгоритм действий при взломе.
Мониторить инфраструктуру. Плюс проводить регулярное тестирование всех систем, отвечающих за информационную безопасность.
Ответственность за нарушение
Платёжные системы устанавливают штрафы за несоблюдение требований PCI DSS. Сумма зависит от типа компании (торговое предприятие или поставщик услуг), объёмов проводимых транзакций и повторяемости нарушения. За первый проступок Visa может назначить штраф в 50 тыс. долларов, за третий — уже 200 тыс. Санкции накладывают ежемесячно вплоть до устранения несоответствий.
Невыполнение требований PCI DSS также может рассматриваться как нарушение законов о защите персональных данных. Они зависят от юрисдикции, в которой фирма осуществляет деятельность: в Европе действует GDPR, в России — 152-ФЗ «О персональных данных» (помимо него может применяться КоАП РФ — пункт 6 статьи 13.12 «Нарушение правил защиты информации» и статья 15.36 «Неисполнение оператором платежной системы требований законодательства РФ о национальной платежной системе»).
Процесс сертификации
Способ сертификации зависит от объема обрабатываемых транзакций. Если он не превышает 20 тысяч платежей в год, можно провести аудит, заполнив опросный лист самооценки. Если число транзакций больше, нужно обращаться к сертифицированной организации. Она проведет проверку в три этапа:
Теоретическая часть. Аудиторы оценят качество и актуальность политик информационной безопасности, их применимость на практике.
Оценка ИТ-инфраструктуры. Специалисты проведут серию пентестов, симулируя атаки на корпоративную сеть. Сюда входит проверка работы файрволов, антивирусов и другого программного обеспечения компании.
Составление отчетов. Если фирма успешно прошла все тесты, она получит сертификат соответствия PCI DSS. В ином случае аудиторы предоставят отчет о нарушениях, которые необходимо устранить. Если они обнаружат серьезные отклонения от требований стандарта, то даже после исправления ситуации весь процесс аудита потребуется пройти повторно.
Альтернативный подход
Сертификацию PCI DSS можно не проходить, если работать с поставщиком платежных сервисов. Это — компания, которая выступает посредником между продавцом (онлайн-магазином или индивидуальным предпринимателем) и банком. Она отвечает за проведение безналичных платежей через интернет.
Поставщики платежных услуг берут на себя вопросы, связанные с обработкой данных банковских карт, а значит — и сертификацией PCI DSS. Поэтому их клиенты освобождаются от необходимости проходить аудит. Им остается следить за тем, чтобы сертификат соответствия PCI DSS у платежного сервиса регулярно обновлялся.
Robokassa подтверждает статус соответствия стандартам PCI DSS каждый год.
Что такое PCI DSS и как происходит проверка на соответствие стандарту?
В конце 2015 года система электронных платежей PayOnline уже в восьмой раз доказала, что мерчанты и плательщики находятся под надежной защитой. А в мае 2016 года компания получила физический сертификат соответствия требованиям стандарта PCI DSS версии 3.1, подтверждающий высший мировой уровень безопасности.
На фоне этого события мы бы хотели подробнее рассказать, что такое PCI DSS, по каким критериям осуществляется проверка на соответствие стандарту и как, не имея собственного сертификата, интернет-магазин может обеспечить безопасность финансовых данных пользователей.
Если попробовать забить аббревиатуру PCI DSS в Google или поискать по ней на Хабре, то можно обнаружить достаточно много статей, описывающих этот стандарт. Тут же выяснится, что целевой аудиторией всех этих материалов будут те, кто так или иначе связан с электронной коммерцией. Главным образом это платёжные агрегаторы и процессинговые центры, а уже потом разработчики интернет-магазинов.
Любой вид электронной коммерции так или иначе основан на том, что покупатели, желающие приобрести товар, должны будут расплатиться за него. Несмотря на то, что возможность расплатиться архаичным способом (отдать деньги курьеру при встрече) наиболее популярна в России, есть большая вероятность, что покупатель предпочтет воспользоваться своей платёжной картой. Тут разработчикам магазина придётся иметь дело с такой деликатной материей как личные данные пользователей, которые ещё и связаны с их финансами. Вряд ли кто-то из клиентов магазина захочет, чтобы все это стало достоянием общественности, поэтому здесь приходится прибегать к продуманным и многократно проверенным решениям.
Создание целого интернет-магазина с нуля — мягко говоря, задача непростая. Поэтому на рынке довольно много фреймворков, помогающих разработчикам с этим (у всех на слуху Magento, к примеру). Задачу приема платежей, как одну из самых важных, потому что она связана с деньгами, включают в себя все решения для электронной коммерции. Разработчики, имевшие с этим дело, знают, что это достаточно простая последовательность шагов, которая часто выглядит как «качаем код библиотеки для платёжного шлюза XYZ», «настраиваем его» (все обычно сводится к получению и использованию специального ключа, позволяющего шлюзу понять с каким магазином он имеет дело), «немного допиливаем» и «выгружаем на продакшн».
Как правило, это не вызывает существенных проблем. Правда, после того, как пользователь вашего магазина перешел на страницу оплаты выбранного платежного шлюза, ввел данные своей платежной карты и нажал на кнопку «Оплатить», вмешаться в процесс уже не получится — разве только обработать ответ шлюза на своей стороне и показать пользователю красивую страничку с благодарностью (если всё прошло нормально) или извиниться (если что-то пошло не так).
Квалифицированный пользователь знает, к примеру, что https лучше http и проверяет это, многие браузеры будут показывать в адресной строке данные сертификата сайта. Однако когда платёжный шлюз начнёт свои «внутренние» транзакции с банком-эмитентом (тот, который выдал карту) и с банком-эквайером (тот, который должен получить оплату), то может возникнуть вполне закономерный вопрос — а насколько это всё вообще безопасно? Ведь передача данных по протоколу https — еще не гарантия безопасности, а лишь один из сотен параметров, обеспечивающих защиту информации.
Может быть ребята из этого шлюза и смогли настроить себе https, купили сертификат и даже большими буквами написали на своём сайте, что всё очень хорошо и всё очень защищено. Но единственным по-настоящему надёжным способом убедиться в этом является выполнение каких-то процедур, удостоверяющих безопасность внутреннего кода платежного шлюза. И, конечно, желательно, чтобы пройти такую проверку было бы сложнее, чем написать на своём сайте немного красивого HTML — «100% гарантия безопасности».
Мы опишем такую процедуру и попробуем понять, почему она является стандартом в индустрии электронной коммерции. Всё это будет скрываться под аббревиатурой PCI DSS, и именно наличие этого сертификата у платёжного шлюза вполне может означать, что данные платёжной карты (да что там, проще говоря, деньги плательщика) дойдут до адресата без проблем.
Что такое PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Другими словами, это документация со списком критериев, которому должен удовлетворять сервис, если он как-то управляет такими вещами, как номер карты, срок её действия и CVV-код.
Платёжных карт можно насчитать довольно много (все знают Visa и MasterCard), а поскольку речь идёт о стандарте индустрии, то было бы нелишним всем компаниям договориться между собой о том, что они будут считать безопасным. Для этого существует Совет PCI SSC (Payment Card Industry Security Standards Council) — Совет по стандартам безопасности индустрии платежных карт, образованный пятью крупнейшими платёжными системами. Именно он создаёт правила «безопасной игры», и именно его правилам должны следовать компании, желающие получить заветный шильдик «Сертифицировано PCI-DSS». Проходить сертификацию необходимо каждый год.
Что именно проверяют?
На самом деле описать все критерии проверки будет сложно — их 288. Сама процедура довольно длительная, потому что затрагивает проверку ряда сложных технических моментов. Полностью список критериев, разбитый на 12 групп, выглядит следующим образом:
Сам программный код библиотек проверяется выборочно, наибольшее внимание уделяют ядру, непосредственно обрабатывающему данные платёжных карт, при этом внимание обращают на соответствие внешнему стандарту безопасности OWASP, который описывает основные требования к поиску и исключению в коде уязвимостей. Также в бизнес-процессе разработки присутствует звено Code Review, на котором, собственно, проходит дополнительная проверка другим разработчиком, не участвующим в самом написании кода.
Все взаимоотношения и ответственность в рамках требований PCI DSS между сервис-провайдерами, а именно между процессинговым центром и датацентром, а также банками-эквайерами, фиксируются в так называемых матрицах ответственности. Наличие подписанных матриц ответственности между сервис-провайдерами стало обязательным требованием с версии 3.1 стандарта PCI DSS. Помимо прочего, разумеется, у датацентра должен быть также актуальный сертификат соответствия PCI DSS на компоненты инфраструктуры, которые использует в работе процессинговый центр — виртуализация, сервисы, физическое оборудование и так далее.
Сами серверы, так же как и все остальные компоненты инфраструктуры, например, сетевое оборудование, также подлежат обязательной проверке. Основным требованием здесь является актуальность статуса PCI-DSS, который ставится в прямую зависимость от частоты изменений программного обеспечения, конфигураций оборудования или/и виртуальных машин и, что не менее важно, от ставших известными уязвимостей, таких как печально известный HeartBleed. Администраторы инфраструктуры обязаны проводить аудит системы на предмет поиска внутренних/внешних уязвимостей и приводить компоненты инфраструктуры в соответствие стандарту PCI DSS.
Аудит безопасности выполняется дважды. Первый раз используется автоматический сканер на известные уязвимости, который предоставляет сертифицированная организация ASV (Approved Scanning Vendor). В случае успешного прохождения этого теста, система проверяется на безопасность второй раз экспертами, что называется, вручную, с вынесением официального заключения.
Возможные трудности
Здесь хотелось бы привести пример из личного опыта. Во время последней сертификации PCI-DSS наши специалисты организовали специальную службу мониторинга, которая следила за тем, чтобы транзакции между нашим дата-центром и банками выполнялись непрерывно. Источником потенциальных проблем было то, что некоторые банки сообщают о том, что их сертификат TLS 1.0 был обновлён до версии 1.2 уже постфактум. Потенциально могло произойти так, что мы пытаемся общаться с банком, имея старый сертификат, тогда как на их стороне он уже обновлён. Благодаря тому, что теперь у нас отдельная служба мониторинга непрерывности транзакций, такая проблема больше невозможна.
Вообще можно привести несколько примеров, как работает проверка, и как мы приводили нашу инфраструктуру в соответствие с требованиями. Как известно, согласно PCI-DSS, платёжная система не должна хранить у себя так называемые Критичные аутентификационные данные (КАД), к которым относят, к примеру, CVV или PIN-код (последний обычно поступает из POS-терминалов супермаркетов). Реализовано это таким образом:
Когда транзакция получает от процессингового центра специальный статус, говорящий о том, что она завершена (независимо от того успешно или нет), то в системе инициируется специальный программный код, решающий две задачи. Если во время транзакции по какой-либо причине её данные были записаны на диск, то специальная операция, удаляющая эту запись, получает максимальный приоритет и выполняется специальным воркером. Если обращения к диску не было, то всё еще проще: процесс транзакции удаляется из памяти сервера и таким образом фиксации КАД не происходит. Единственные данные, которые можно хранить — это номер карты PAN (Primary Account Number), и то исключительно в зашифрованном виде.
Еще один пример напрямую связан с одним из наших пользователей (хотя на самом деле таких историй много, просто эта последняя по времени), который покупал товар в интернет-магазине. После того, как что-то «пошло не так», он не стал читать достаточно подробные сообщения об ошибке, а просто сфотографировал свою платёжную карту с обеих сторон (наверно, потому, что в форме платежа ему объяснили, что надо вводить три последние цифры после магнитной полосы на оборотной стороне) и прислал её нам в службу поддержки. По мнению покупателя, это должно было помочь нам выяснить статус его платежа — «снялись деньги» или нет. Надо сказать, что даже такие курьёзные и одновременно печальные случаи оговорены стандартом PCI-DSS.
В случае компрометации данных пользователя платёжная система обязана уведомить его самого и банк-эмитент, выпустивший «засвеченную» карту. Кроме того, необходимо было удалить письмо с вложениями-картинками из клиентской почтовой программы оператора службы поддержки, а также на почтовом сервере. Всё это делалось для того, чтобы следовать золотому правилу обеспечения безопасности индустрии платёжных карт — «Если тебе не нужна эта информация, то не храни её».
Интеграция PayOnline с интернет-магазином
Как уже упоминалось выше, задачу интеграции конкретного интернет-магазина с платёжной системой вряд ли можно назвать сложной. В интернете можно найти множество примеров для многих шлюзов. Всё обычно сводится к установке на сервер специально написанной библиотеки (у нас их много и под разные платформы) и написанию какого-то клиентского кода, который будет собирать информацию пользовательской формы и отправлять её платёжному шлюзу. Единственным моментом, на который хотелось бы обратить внимание, должно быть месторасположение самой платёжной формы — будет она находиться на стороне интернет-магазина или будет работать на стороне PayOnline. Несмотря на то, что многие решения вполне могут позволить принимать платежи прямо на своём сайте, в случае отсутствия у мерчанта собственного сертификата PCI-DSS, необходимо будет организовать всё так, чтобы платежи выполнялись на стороне платёжного шлюза. Обоснование тут одно — это безопасность финансовых данных пользователя. При этом платёжную форму можно кастомизировать под компанию, так что отторжения у конечного пользователя не возникнет.
Что получает интернет-магазин
Среди основных преимуществ системы электронных платежей PayOnline мы можем выделить особо наши технические возможности, нацеленные на увеличение конверсии в успешные платежи. В первую очередь, конечно, это тонкая работа с 3-D Secure, позволяющая сохранить высокий уровень защиты от мошеннических операций и одновременно увеличить платежную конверсию.
Мы внимательно изучаем поведение плательщиков, которое из года в год меняется вслед за технологическим прогрессом. Благодаря возможности измерять конверсию и поведение человека на платёжной странице в момент заполнения данных и совершения платежа, мы технологически позволяем своим клиентам шаг за шагом отследить путь покупателя, представить себя на его месте и максимально упростить его пользовательский опыт на основе полученной статистики. В случае же, если при совершении платежа у покупателя по какой-то причине не получается провести оплату, магазин получает от процессингового центра точную причину отклонения, далее магазин транслирует причину отклонения плательщику в любом кастомизированном виде. Таким образом, клиент сразу понимает, почему платеж не прошел и что ему необходимо сделать, чтобы приобрести товар или услугу.
Если вас заинтересовала такая возможность, обращайтесь, наши специалисты предоставят дополнительную информацию и, в случае необходимости, помогут настроить прием платежей на сайте и в мобильном приложении по защищенному шлюзу, отвечающему требованиям стандарта PCI DSS 3.1.
PCI DSS – как и зачем получать сертификат соответствия
Привет, %username%!
Этот пост мы подготовили для тех, кто работает в сфере интернет-коммерции и планирует принимать (или уже принимает) платежи на собственном сайте. Мы расскажем о международном стандарте безопасности данных PCI DSS. Поговорим о его основных требованиях к информационной инфраструктуре, которая обеспечивает обработку и обеспечение безопасности данных банковских карт. Также мы рассмотрим основные причины прохождения сертификации и возможности, которые получает сертифицированная компания.
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан международными платежными системами Visa и MasterCard. Любая организация, планирующая принимать и обрабатывать данные банковских карт на своем сайте, должна соответствовать требованиям PCI DSS.
Но самостоятельная работа с банками дает компании не только преимущество в адаптации платежной системы «под себя». Она обязывает компанию взять на себя борьбу с мошенническими операциями при обработке данных банковских карт на своем сайте. Иными словами, компании необходимо построить собственную систему мониторинга и борьбы с мошенническими операциями (анти-фрод). Задача анти-фрод системы – фильтрация операций, определяемых как мошеннические, по ряду признаков (например, несовпадение банка-эмитента со страной оплаты или проживания плательщика).
На стадии построения и отладки анти-фрод системы много времени «съест» сбор и анализ данных об операциях по банковским картам. Цель сбора данных – выявление отличительных признаков мошеннических операций. В процессе сбора статистики компании придется столкнуться с большим объемом «charge-back» операций.
Построение собственной анти-фрод системы логично и финансово обосновано для компаний с большим оборотом платежей по банковским картам. Для таких компаний гибкость и полный контроль над системой фильтрации платежей являются критически важными. Плюс, у такой компании есть возможность выделить ресурсы на разработку и постоянное развитие технологий и инструментов собственного “мини процессингового центра”.
Стоит отметить, что в мониторинге рисков сложно найти лучшего поставщика услуг, чем процессинговый центр. Благодаря разнообразию и значительному количеству клиентов, ПЦ обладает обширной историей мониторинга и фильтрации. Даже если компания занимается построением собственной анти-фрод системы, она может отдавать на обработку в ПЦ транзакции, вызывающие сомнения у внутренних специалистов по рискам.
Для принятия взвешенного решения о выборе способа обработки данных банковских карт, необходимо оценивать все составляющие процесса от подачи документов до поддержки кардхолдеров. Для того чтобы принять решение было проще, мы провели сравнение двух основных подходов по приему и обработке данных банковских карт: если ввод данных осуществляется на стороннем сайте (например, ПЦ) – и если данные вводят на сайте предприятия с последующей авторизацией платежа в банке.
| Ввод данных банковской карты осуществляется на сайте предприятия с последующей авторизацией платежей (например в банке) | Ввод данных банковской карты осуществляется на стороннем сайте (например на защищенной платежной странице ПЦ) | |
|---|---|---|
| PCI DSS | Прохождение сертификации на соответствие требованиям PCI DSS обязательно. | Прохождение сертификации не обязательно. |
| Подключение | Для приема платежей напрямую, необходимо самостоятельно подключиться к банку. Решение банка зависит, в том числе, от оборота компании. | Для подключения необходимо передать пакет документов личному менеджеру, который будет взаимодействовать с банком и заниматься подготовкой договора. |
| Комиссия | Комиссия, взимаемая банком за обработку платежей, составляет от 2% от суммы транзакции и зависит от объема оборота и сферы деятельности компании. Процент комиссии, полученный клиентом от банка напрямую, зачастую равен проценту, предоставляемому ПЦ. Это связано с “оптовыми” условиями работы для ПЦ и высоким уровнем надежности мониторинга транзакций, в котором заинтересован банк. | Комиссия, взимаемая ПЦ за обработку платежей и комплекс дополнительных услуг, составляет от 2,5% от суммы транзакции и зависит от объема оборота и сферы деятельности компании. |
| Бухгалтерия | Взаимодействием с банком по вопросам бухгалтерской отчетности и проведением платежей компания занимается самостоятельно. Для составления отчетов требуется активная работа с банком и построение собственной биллинговой системы. | Биллинговая система ПЦ предоставляет клиентам возможность производить online-учет осуществленных транзакций. Возможность самостоятельно выгружать бухгалтерские документы (акт, детализированная выписка системы PayOnline, счет) в интерфейсе личного кабинета. |
| Поддержка плательщиков | Для оказания квалифицированной поддержки плательщиков необходимо организовать собственный Call-центр или покупать услуги стороннего (от 25 000 руб. /мес. за работу специалиста). Если у Вас уже есть Call-центр, необходимо провести дополнительную обучение специалистов для работы с держателями карт. Также требуется построение инфраструктуры Call-центра: софт, телефония. | Поддержка держателей карт, совершающих платежи в Вашем интернет-магазине, осуществляется специалистами Call-центра ПЦ. |
| Мониторинг транзакций | Мониторинг транзакций должен осуществляться штатными квалифицированными специалистами предприятия e-commerce, обрабатывающего данные банковских карт. Заработная плата специалиста по рискам — от 35 000 руб. / мес. | Мониторинг транзакций, с том числе программный, осуществляется специалистами департамента рисков ПЦ. |
| Железо | Требуются вложения в серверную часть, необходимые для прохождения сертификации и обеспечения достаточного уровня безопасности. Сумма зависит от Level-a сертификата и предполагаемой инфраструктуры. | Вам не требуются дополнительные расходы на развитие серверной части, так как обработка транзакций происходит на защищенных серверах ПЦ. |
| Разработка | Для организации самостоятельного приема платежей необходима разработка или покупка биллинговой системы, в том числе сервисов безопасной передачи данных в банк, безопасных форм приема платежей, дополнительных интерфейсов. Требуется постоянная работа специалиста высокой квалификации стоимостью не менее 65000 руб. / мес. | Для подключения к ПЦ требуется единоразовое привлечение разработчика для внедрения платежной формы на сайт компании. При необходимости, брендированая платежная форма разрабатывается специалистами ПЦ. |
| Прием платежей на сайте (без перехода на сторонний ресурс) | Вы обрабатываете данные банковских карт на сайте без перехода на сторонний ресурс. | Возможна реализация приема платежей без прямого перехода на сайт ПЦ с использованием технологии IFrame. |
Таким образом, если компания собирается пройти сертификацию на соответствие PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования стандарта PCI DSS. Они охватывают безопасность на уровне сетей, оборудования, приложений, баз данных, физических хранилищ, документирования и управления процессами. И, как уже говорилось выше, построение анти-фрод системы и биллинговой системы, задача непростая и длительная в реализации, также выполняется компанией самостоятельно.
К компаниям, работающим только с платёжным шлюзом и не принимающих на своем данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ). Они касаются сайта предприятия e-commerce, корректности контента и ценовых предложений, организационной формы компании.
Если после прочтения этого поста у Вас появились вопросы – пишите в комментарии. Со стороны аудитора и специалиста по требованиям стандарта PCI DSS Вас проконсультирует Евгений Безгодов aka Bezgodov, исполнительный директор компании Deiteriy, CISA, PCI QSA. Со стороны платежного шлюза как всегда на связи специалисты процессингового центра PayOnline.