pci ped что это
Объявление
Вероятно будет интересно и в Росиии, так как очень много платежных киосков к нам пришло именно из России.
================
Общаемся с клиентами, все требуют исключительно сертифицированное по PCI-PED оборудование.
Натурально, все поставщики терминальных устройств в которых может вводиться ПИН, поставляют именно такие устройства.
Но вот сомнение возникло, глядя на некоторые девайсы с приемом платежных карт, которые начинают появляться в Украине.
Поделюсь своими соображениями по этому поводу.
В свое время, при общении с производителем нашего терминального оборудования, мне было сказано, что предыдущая версия требований под названием Visa-PED определяла, что для устройств, в которых вводится ПИН, было обязательно:
После успешного выполнения тестов в специальной лаборатории по сертификации на соответствие PCI-PED, устройство получает сертификат.
Это касается терминальных устройств, так называемых EFTPOS-терминалов и PIN-падов.
В чем заключается мой вопрос: Сегодня на рынке все больше появляется торговых, информационных, платежных и банковских автоматов (киосков), с функцией обслуживания карт EMV.
Что скажут представители платежных систем?
Из всех требований PCI-PED, проверяющих из платежных систем будет интересовать только то, чтобы ПИН-клавиатура подобных аппаратов умела шифровать ПИН по Triple-DES, и это все требования?
==
Совет по стандартам безопасности PCI (Security Standards Council PCI), управляющий стандартами безопасности платежных средств Data Security Standard (DSS), PCI PIN Entry Device (PED) и Payment Application Data Security Standard (PA-DSS), включил в свою программу по повышению уровня безопасности устройств ввода ПИН-кода PED еще два новых типа устройств для индустрии безналичных платежей. Автоматические платежные терминалы (unattended payment terminal, UPT) и аппаратные средства модулей безопасности (host security module, HSM) теперь смогут пройти сертификацию на соответствие стандартами индустрии в целях обеспечения безопасности конфиденциальных данных реквизитов платежных карт. Совет также будет утверждать список одобренных устройств UPT и HSM, обеспечивать необходимую документацию и обучение персонала тестовых лабораторий и станет единым источником информации для компаний-поставщиков.
==
Итого: Потребуется-ли сертификация по PCI-PED целиком, устройств типа автоматических заправочных станций, платежных автоматов самообслуживания и т.п. UPT?
Что думают по этому поводу камрады из России?
Прочие стандарты PCI
Прочие стандарты PCI
PCI PED[74]
Организации индустрии платежных карт разрабатывают общий стандарт, регулирующий в том числе аспекты безопасности устройств ввода ПИН-кодов (PIN entry devices, PEDs). Требования к таким устройствам регламентируют методологию тестирования устройств и процесс утверждения сертифицированных устройств и включают требования по защите ПИН-кодов.
Задача PCI PED — удостовериться в том, что устройство, принимающее ПИН-код, обеспечивает защиту чувствительной информации, такой как резидентные ключи, ПИН владельца пластиковой карты и др.
Цель требований заключается в обеспечении единого, последовательного и точного стандарта для всех устройств ввода ПИН-кодов по всему миру.
Программа тестирования и утверждения устройств ввода ПИН-кодов отражает стандартный набор:
• требования безопасности к устройствам;
• процесс сертификации и утверждения.
PA DSS
Требования Стандарта безопасности данных платежных приложений (PA DSS) являются производными от требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) и Процедур аудита безопасности PCI DSS (PCI DSS Security Audit Procedures). Эти документы, с которыми можно ознакомиться на сайте[75], содержат подробное описание требований безопасности данных, которые торгово-сервисные предприятия и сервис-провайдеры должны соблюдать для соответствия стандарту PCI DSS (следовательно, какое приложение платежной системы необходимо использовать для обеспечения соответствия этому стандарту).
Стандарт PCI DSS обычно не распространяется на производителей приложений платежных систем, поскольку большинство производителей не выполняют хранение, обработку и передачу данных о держателях карт. Однако поскольку приложения платежных систем используются клиентами для хранения, обработки и передачи данных о держателях карт, а клиенты должны соблюдать требования стандарта PCI DSS, то приложения платежных систем должны соответствовать требованиям стандарта PCI DSS и не нарушать их.
Ниже приведены несколько способов использования приложений платежных систем, при которых требования стандарта PCI DSS нарушаются:
• хранение данных магнитной полосы карты в сети клиента после авторизации;
• использование приложений, для корректной работы которых требуется отключение клиентами программного обеспечения, которое должно применяться для соблюдения требований стандарта PCI DSS, например, антивирусных программ или межсетевых экранов;
• использование производителями незащищенных методов подключения к этим приложениям для технической поддержки клиента.
При использовании в среде, соответствующей требованиям стандарта PCI DSS, защищенных приложений платежных систем уменьшается вероятность нарушения безопасности, приводящая к компрометации полных данных магнитной полосы, кодов проверки подлинности карты (CAV2, CID, CVC2, CVV2), ПИН-кодов и ПИН-блоков и, в результате, к осуществлению хакерами мошеннических операций.
Читайте также
Стандарты международных платежных систем: PCI DSS и смежные стандарты
Стандарты международных платежных систем: PCI DSS и смежные стандарты В данном разделе описаны стандарты платежных систем, определяющие требования к информационной безопасности, а также политика платежных систем VISA и MasterCard в части контроля и применения. Подробнее всего
Глава 12. Хед-хантинг и прочие кадровые ротации
Глава 12. Хед-хантинг и прочие кадровые ротации Пионерогероева набирала номер телефона бывшей коллеги – начальницы отдела профурсетинга компании „Ух“ Правдолюбовой. Застала ее на работе в совершенно расстроенных чувствах.– Ты не представляешь, как мне все надоело! –
Идеалы и стандарты
Идеалы и стандарты Нам, людям, свойственно подгонять реальность под идеалы. Вряд ли кто-то наблюдал, как собаки, принюхавшись, вдруг отворачивались со словами: «Тьфу, ты не соответствуешь моим идеалам». А вот мы, люди, постоянно сравниваем со своими иллюзиями партнеров,
Прочие паттерны лидеров-гениев
Прочие паттерны лидеров-гениев Вот еще некоторые характерные черты гениальных личностей, согласно Роберту Дилтсу [1.203]:1. Развивают особые состояния и стратегии доступа к бессознательным процессам.2. Стимулируют и используют самоорганизующиеся процессы.3. Осваивают
Прочие условия овладения судьбой
Прочие условия овладения судьбой Самопомощь через самопознание! – вот цель, к которой ведет Школа жизни. Однако самопознание ценно лишь в том случае, если оно становится источником воли к самоопределению.Но прежде чем эта воля в нас пробудится и ею можно будет
Что такое PCI DSS и как происходит проверка на соответствие стандарту?
В конце 2015 года система электронных платежей PayOnline уже в восьмой раз доказала, что мерчанты и плательщики находятся под надежной защитой. А в мае 2016 года компания получила физический сертификат соответствия требованиям стандарта PCI DSS версии 3.1, подтверждающий высший мировой уровень безопасности.
На фоне этого события мы бы хотели подробнее рассказать, что такое PCI DSS, по каким критериям осуществляется проверка на соответствие стандарту и как, не имея собственного сертификата, интернет-магазин может обеспечить безопасность финансовых данных пользователей.
Если попробовать забить аббревиатуру PCI DSS в Google или поискать по ней на Хабре, то можно обнаружить достаточно много статей, описывающих этот стандарт. Тут же выяснится, что целевой аудиторией всех этих материалов будут те, кто так или иначе связан с электронной коммерцией. Главным образом это платёжные агрегаторы и процессинговые центры, а уже потом разработчики интернет-магазинов.
Любой вид электронной коммерции так или иначе основан на том, что покупатели, желающие приобрести товар, должны будут расплатиться за него. Несмотря на то, что возможность расплатиться архаичным способом (отдать деньги курьеру при встрече) наиболее популярна в России, есть большая вероятность, что покупатель предпочтет воспользоваться своей платёжной картой. Тут разработчикам магазина придётся иметь дело с такой деликатной материей как личные данные пользователей, которые ещё и связаны с их финансами. Вряд ли кто-то из клиентов магазина захочет, чтобы все это стало достоянием общественности, поэтому здесь приходится прибегать к продуманным и многократно проверенным решениям.
Создание целого интернет-магазина с нуля — мягко говоря, задача непростая. Поэтому на рынке довольно много фреймворков, помогающих разработчикам с этим (у всех на слуху Magento, к примеру). Задачу приема платежей, как одну из самых важных, потому что она связана с деньгами, включают в себя все решения для электронной коммерции. Разработчики, имевшие с этим дело, знают, что это достаточно простая последовательность шагов, которая часто выглядит как «качаем код библиотеки для платёжного шлюза XYZ», «настраиваем его» (все обычно сводится к получению и использованию специального ключа, позволяющего шлюзу понять с каким магазином он имеет дело), «немного допиливаем» и «выгружаем на продакшн».
Как правило, это не вызывает существенных проблем. Правда, после того, как пользователь вашего магазина перешел на страницу оплаты выбранного платежного шлюза, ввел данные своей платежной карты и нажал на кнопку «Оплатить», вмешаться в процесс уже не получится — разве только обработать ответ шлюза на своей стороне и показать пользователю красивую страничку с благодарностью (если всё прошло нормально) или извиниться (если что-то пошло не так).
Квалифицированный пользователь знает, к примеру, что https лучше http и проверяет это, многие браузеры будут показывать в адресной строке данные сертификата сайта. Однако когда платёжный шлюз начнёт свои «внутренние» транзакции с банком-эмитентом (тот, который выдал карту) и с банком-эквайером (тот, который должен получить оплату), то может возникнуть вполне закономерный вопрос — а насколько это всё вообще безопасно? Ведь передача данных по протоколу https — еще не гарантия безопасности, а лишь один из сотен параметров, обеспечивающих защиту информации.
Может быть ребята из этого шлюза и смогли настроить себе https, купили сертификат и даже большими буквами написали на своём сайте, что всё очень хорошо и всё очень защищено. Но единственным по-настоящему надёжным способом убедиться в этом является выполнение каких-то процедур, удостоверяющих безопасность внутреннего кода платежного шлюза. И, конечно, желательно, чтобы пройти такую проверку было бы сложнее, чем написать на своём сайте немного красивого HTML — «100% гарантия безопасности».
Мы опишем такую процедуру и попробуем понять, почему она является стандартом в индустрии электронной коммерции. Всё это будет скрываться под аббревиатурой PCI DSS, и именно наличие этого сертификата у платёжного шлюза вполне может означать, что данные платёжной карты (да что там, проще говоря, деньги плательщика) дойдут до адресата без проблем.
Что такое PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Другими словами, это документация со списком критериев, которому должен удовлетворять сервис, если он как-то управляет такими вещами, как номер карты, срок её действия и CVV-код.
Платёжных карт можно насчитать довольно много (все знают Visa и MasterCard), а поскольку речь идёт о стандарте индустрии, то было бы нелишним всем компаниям договориться между собой о том, что они будут считать безопасным. Для этого существует Совет PCI SSC (Payment Card Industry Security Standards Council) — Совет по стандартам безопасности индустрии платежных карт, образованный пятью крупнейшими платёжными системами. Именно он создаёт правила «безопасной игры», и именно его правилам должны следовать компании, желающие получить заветный шильдик «Сертифицировано PCI-DSS». Проходить сертификацию необходимо каждый год.
Что именно проверяют?
На самом деле описать все критерии проверки будет сложно — их 288. Сама процедура довольно длительная, потому что затрагивает проверку ряда сложных технических моментов. Полностью список критериев, разбитый на 12 групп, выглядит следующим образом:
Сам программный код библиотек проверяется выборочно, наибольшее внимание уделяют ядру, непосредственно обрабатывающему данные платёжных карт, при этом внимание обращают на соответствие внешнему стандарту безопасности OWASP, который описывает основные требования к поиску и исключению в коде уязвимостей. Также в бизнес-процессе разработки присутствует звено Code Review, на котором, собственно, проходит дополнительная проверка другим разработчиком, не участвующим в самом написании кода.
Все взаимоотношения и ответственность в рамках требований PCI DSS между сервис-провайдерами, а именно между процессинговым центром и датацентром, а также банками-эквайерами, фиксируются в так называемых матрицах ответственности. Наличие подписанных матриц ответственности между сервис-провайдерами стало обязательным требованием с версии 3.1 стандарта PCI DSS. Помимо прочего, разумеется, у датацентра должен быть также актуальный сертификат соответствия PCI DSS на компоненты инфраструктуры, которые использует в работе процессинговый центр — виртуализация, сервисы, физическое оборудование и так далее.
Сами серверы, так же как и все остальные компоненты инфраструктуры, например, сетевое оборудование, также подлежат обязательной проверке. Основным требованием здесь является актуальность статуса PCI-DSS, который ставится в прямую зависимость от частоты изменений программного обеспечения, конфигураций оборудования или/и виртуальных машин и, что не менее важно, от ставших известными уязвимостей, таких как печально известный HeartBleed. Администраторы инфраструктуры обязаны проводить аудит системы на предмет поиска внутренних/внешних уязвимостей и приводить компоненты инфраструктуры в соответствие стандарту PCI DSS.
Аудит безопасности выполняется дважды. Первый раз используется автоматический сканер на известные уязвимости, который предоставляет сертифицированная организация ASV (Approved Scanning Vendor). В случае успешного прохождения этого теста, система проверяется на безопасность второй раз экспертами, что называется, вручную, с вынесением официального заключения.
Возможные трудности
Здесь хотелось бы привести пример из личного опыта. Во время последней сертификации PCI-DSS наши специалисты организовали специальную службу мониторинга, которая следила за тем, чтобы транзакции между нашим дата-центром и банками выполнялись непрерывно. Источником потенциальных проблем было то, что некоторые банки сообщают о том, что их сертификат TLS 1.0 был обновлён до версии 1.2 уже постфактум. Потенциально могло произойти так, что мы пытаемся общаться с банком, имея старый сертификат, тогда как на их стороне он уже обновлён. Благодаря тому, что теперь у нас отдельная служба мониторинга непрерывности транзакций, такая проблема больше невозможна.
Вообще можно привести несколько примеров, как работает проверка, и как мы приводили нашу инфраструктуру в соответствие с требованиями. Как известно, согласно PCI-DSS, платёжная система не должна хранить у себя так называемые Критичные аутентификационные данные (КАД), к которым относят, к примеру, CVV или PIN-код (последний обычно поступает из POS-терминалов супермаркетов). Реализовано это таким образом:
Когда транзакция получает от процессингового центра специальный статус, говорящий о том, что она завершена (независимо от того успешно или нет), то в системе инициируется специальный программный код, решающий две задачи. Если во время транзакции по какой-либо причине её данные были записаны на диск, то специальная операция, удаляющая эту запись, получает максимальный приоритет и выполняется специальным воркером. Если обращения к диску не было, то всё еще проще: процесс транзакции удаляется из памяти сервера и таким образом фиксации КАД не происходит. Единственные данные, которые можно хранить — это номер карты PAN (Primary Account Number), и то исключительно в зашифрованном виде.
Еще один пример напрямую связан с одним из наших пользователей (хотя на самом деле таких историй много, просто эта последняя по времени), который покупал товар в интернет-магазине. После того, как что-то «пошло не так», он не стал читать достаточно подробные сообщения об ошибке, а просто сфотографировал свою платёжную карту с обеих сторон (наверно, потому, что в форме платежа ему объяснили, что надо вводить три последние цифры после магнитной полосы на оборотной стороне) и прислал её нам в службу поддержки. По мнению покупателя, это должно было помочь нам выяснить статус его платежа — «снялись деньги» или нет. Надо сказать, что даже такие курьёзные и одновременно печальные случаи оговорены стандартом PCI-DSS.
В случае компрометации данных пользователя платёжная система обязана уведомить его самого и банк-эмитент, выпустивший «засвеченную» карту. Кроме того, необходимо было удалить письмо с вложениями-картинками из клиентской почтовой программы оператора службы поддержки, а также на почтовом сервере. Всё это делалось для того, чтобы следовать золотому правилу обеспечения безопасности индустрии платёжных карт — «Если тебе не нужна эта информация, то не храни её».
Интеграция PayOnline с интернет-магазином
Как уже упоминалось выше, задачу интеграции конкретного интернет-магазина с платёжной системой вряд ли можно назвать сложной. В интернете можно найти множество примеров для многих шлюзов. Всё обычно сводится к установке на сервер специально написанной библиотеки (у нас их много и под разные платформы) и написанию какого-то клиентского кода, который будет собирать информацию пользовательской формы и отправлять её платёжному шлюзу. Единственным моментом, на который хотелось бы обратить внимание, должно быть месторасположение самой платёжной формы — будет она находиться на стороне интернет-магазина или будет работать на стороне PayOnline. Несмотря на то, что многие решения вполне могут позволить принимать платежи прямо на своём сайте, в случае отсутствия у мерчанта собственного сертификата PCI-DSS, необходимо будет организовать всё так, чтобы платежи выполнялись на стороне платёжного шлюза. Обоснование тут одно — это безопасность финансовых данных пользователя. При этом платёжную форму можно кастомизировать под компанию, так что отторжения у конечного пользователя не возникнет.
Что получает интернет-магазин
Среди основных преимуществ системы электронных платежей PayOnline мы можем выделить особо наши технические возможности, нацеленные на увеличение конверсии в успешные платежи. В первую очередь, конечно, это тонкая работа с 3-D Secure, позволяющая сохранить высокий уровень защиты от мошеннических операций и одновременно увеличить платежную конверсию.
Мы внимательно изучаем поведение плательщиков, которое из года в год меняется вслед за технологическим прогрессом. Благодаря возможности измерять конверсию и поведение человека на платёжной странице в момент заполнения данных и совершения платежа, мы технологически позволяем своим клиентам шаг за шагом отследить путь покупателя, представить себя на его месте и максимально упростить его пользовательский опыт на основе полученной статистики. В случае же, если при совершении платежа у покупателя по какой-то причине не получается провести оплату, магазин получает от процессингового центра точную причину отклонения, далее магазин транслирует причину отклонения плательщику в любом кастомизированном виде. Таким образом, клиент сразу понимает, почему платеж не прошел и что ему необходимо сделать, чтобы приобрести товар или услугу.
Если вас заинтересовала такая возможность, обращайтесь, наши специалисты предоставят дополнительную информацию и, в случае необходимости, помогут настроить прием платежей на сайте и в мобильном приложении по защищенному шлюзу, отвечающему требованиям стандарта PCI DSS 3.1.
PCI DSS – как и зачем получать сертификат соответствия
Привет, %username%!
Этот пост мы подготовили для тех, кто работает в сфере интернет-коммерции и планирует принимать (или уже принимает) платежи на собственном сайте. Мы расскажем о международном стандарте безопасности данных PCI DSS. Поговорим о его основных требованиях к информационной инфраструктуре, которая обеспечивает обработку и обеспечение безопасности данных банковских карт. Также мы рассмотрим основные причины прохождения сертификации и возможности, которые получает сертифицированная компания.
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан международными платежными системами Visa и MasterCard. Любая организация, планирующая принимать и обрабатывать данные банковских карт на своем сайте, должна соответствовать требованиям PCI DSS.
Но самостоятельная работа с банками дает компании не только преимущество в адаптации платежной системы «под себя». Она обязывает компанию взять на себя борьбу с мошенническими операциями при обработке данных банковских карт на своем сайте. Иными словами, компании необходимо построить собственную систему мониторинга и борьбы с мошенническими операциями (анти-фрод). Задача анти-фрод системы – фильтрация операций, определяемых как мошеннические, по ряду признаков (например, несовпадение банка-эмитента со страной оплаты или проживания плательщика).
На стадии построения и отладки анти-фрод системы много времени «съест» сбор и анализ данных об операциях по банковским картам. Цель сбора данных – выявление отличительных признаков мошеннических операций. В процессе сбора статистики компании придется столкнуться с большим объемом «charge-back» операций.
Построение собственной анти-фрод системы логично и финансово обосновано для компаний с большим оборотом платежей по банковским картам. Для таких компаний гибкость и полный контроль над системой фильтрации платежей являются критически важными. Плюс, у такой компании есть возможность выделить ресурсы на разработку и постоянное развитие технологий и инструментов собственного “мини процессингового центра”.
Стоит отметить, что в мониторинге рисков сложно найти лучшего поставщика услуг, чем процессинговый центр. Благодаря разнообразию и значительному количеству клиентов, ПЦ обладает обширной историей мониторинга и фильтрации. Даже если компания занимается построением собственной анти-фрод системы, она может отдавать на обработку в ПЦ транзакции, вызывающие сомнения у внутренних специалистов по рискам.
Для принятия взвешенного решения о выборе способа обработки данных банковских карт, необходимо оценивать все составляющие процесса от подачи документов до поддержки кардхолдеров. Для того чтобы принять решение было проще, мы провели сравнение двух основных подходов по приему и обработке данных банковских карт: если ввод данных осуществляется на стороннем сайте (например, ПЦ) – и если данные вводят на сайте предприятия с последующей авторизацией платежа в банке.
| Ввод данных банковской карты осуществляется на сайте предприятия с последующей авторизацией платежей (например в банке) | Ввод данных банковской карты осуществляется на стороннем сайте (например на защищенной платежной странице ПЦ) | |
|---|---|---|
| PCI DSS | Прохождение сертификации на соответствие требованиям PCI DSS обязательно. | Прохождение сертификации не обязательно. |
| Подключение | Для приема платежей напрямую, необходимо самостоятельно подключиться к банку. Решение банка зависит, в том числе, от оборота компании. | Для подключения необходимо передать пакет документов личному менеджеру, который будет взаимодействовать с банком и заниматься подготовкой договора. |
| Комиссия | Комиссия, взимаемая банком за обработку платежей, составляет от 2% от суммы транзакции и зависит от объема оборота и сферы деятельности компании. Процент комиссии, полученный клиентом от банка напрямую, зачастую равен проценту, предоставляемому ПЦ. Это связано с “оптовыми” условиями работы для ПЦ и высоким уровнем надежности мониторинга транзакций, в котором заинтересован банк. | Комиссия, взимаемая ПЦ за обработку платежей и комплекс дополнительных услуг, составляет от 2,5% от суммы транзакции и зависит от объема оборота и сферы деятельности компании. |
| Бухгалтерия | Взаимодействием с банком по вопросам бухгалтерской отчетности и проведением платежей компания занимается самостоятельно. Для составления отчетов требуется активная работа с банком и построение собственной биллинговой системы. | Биллинговая система ПЦ предоставляет клиентам возможность производить online-учет осуществленных транзакций. Возможность самостоятельно выгружать бухгалтерские документы (акт, детализированная выписка системы PayOnline, счет) в интерфейсе личного кабинета. |
| Поддержка плательщиков | Для оказания квалифицированной поддержки плательщиков необходимо организовать собственный Call-центр или покупать услуги стороннего (от 25 000 руб. /мес. за работу специалиста). Если у Вас уже есть Call-центр, необходимо провести дополнительную обучение специалистов для работы с держателями карт. Также требуется построение инфраструктуры Call-центра: софт, телефония. | Поддержка держателей карт, совершающих платежи в Вашем интернет-магазине, осуществляется специалистами Call-центра ПЦ. |
| Мониторинг транзакций | Мониторинг транзакций должен осуществляться штатными квалифицированными специалистами предприятия e-commerce, обрабатывающего данные банковских карт. Заработная плата специалиста по рискам — от 35 000 руб. / мес. | Мониторинг транзакций, с том числе программный, осуществляется специалистами департамента рисков ПЦ. |
| Железо | Требуются вложения в серверную часть, необходимые для прохождения сертификации и обеспечения достаточного уровня безопасности. Сумма зависит от Level-a сертификата и предполагаемой инфраструктуры. | Вам не требуются дополнительные расходы на развитие серверной части, так как обработка транзакций происходит на защищенных серверах ПЦ. |
| Разработка | Для организации самостоятельного приема платежей необходима разработка или покупка биллинговой системы, в том числе сервисов безопасной передачи данных в банк, безопасных форм приема платежей, дополнительных интерфейсов. Требуется постоянная работа специалиста высокой квалификации стоимостью не менее 65000 руб. / мес. | Для подключения к ПЦ требуется единоразовое привлечение разработчика для внедрения платежной формы на сайт компании. При необходимости, брендированая платежная форма разрабатывается специалистами ПЦ. |
| Прием платежей на сайте (без перехода на сторонний ресурс) | Вы обрабатываете данные банковских карт на сайте без перехода на сторонний ресурс. | Возможна реализация приема платежей без прямого перехода на сайт ПЦ с использованием технологии IFrame. |
Таким образом, если компания собирается пройти сертификацию на соответствие PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования стандарта PCI DSS. Они охватывают безопасность на уровне сетей, оборудования, приложений, баз данных, физических хранилищ, документирования и управления процессами. И, как уже говорилось выше, построение анти-фрод системы и биллинговой системы, задача непростая и длительная в реализации, также выполняется компанией самостоятельно.
К компаниям, работающим только с платёжным шлюзом и не принимающих на своем данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ). Они касаются сайта предприятия e-commerce, корректности контента и ценовых предложений, организационной формы компании.
Если после прочтения этого поста у Вас появились вопросы – пишите в комментарии. Со стороны аудитора и специалиста по требованиям стандарта PCI DSS Вас проконсультирует Евгений Безгодов aka Bezgodov, исполнительный директор компании Deiteriy, CISA, PCI QSA. Со стороны платежного шлюза как всегда на связи специалисты процессингового центра PayOnline.