Почему сертификат PCI DSS важен для мерчантов

В Украине, как и во всем мире, активно развивается сфера e-commerce. Новые онлайн-магазины появляются каждый день. В результате такого активного развития электронной коммерции, количество мошеннических операций стремительно растет.

Онлайн-продажи напрямую связаны с использованием банковских карт и электронных карточек, поэтому для мерчантов особенно актуален вопрос кибербезопасности. Чтобы предотвратить утечку личных данных клиентов и потерю прибыли, продавцы должны соответствовать стандартам защиты данных, которые приняты в индустрии платежных карт. 

Этот отраслевой стандарт называется PCI DSS. В нем закреплены нормы безопасности, согласно которым мерчант должен принимать, обрабатывать и хранить платежные данные покупателей.

В статье рассмотрим следующие вопросы: что такое PCI DSS, какие существуют уровни сертификата, как его получить в Украине, и сколько это стоит.

Нормы безопасности PCI DSS придумали такие платежные системы, как Discover, MasterCard, Visa и American Express. Все, кто обрабатывает хотя бы одну транзакцию в год, обязаны соответствовать этим нормам. Так мерчанты гарантируют безопасность конфиденциальных данных получателей карт, когда те платят в интернете.

Чтобы получить сертификат PCI, компания должна выполнять требования, прописанные международными платежными системами. Все они сводятся к следующим целям: 

• создать безопасную сетевую инфраструктуру; 
• защитить платежные данные клиентов; 
• соблюдать политику информационной безопасности; 
• обеспечить жизнедеятельность программ управления угрозами и уязвимости; 
• внедрить меры, направленные на контроль доступа к любым данным;  
• проводить постоянный мониторинг и проверку сети.

Требования PCI DSS обязательны для всех владельцев бизнеса, независимо от их уровня прибыли и сферы деятельности.

С 2004 года все, кто взаимодействует с платежными данными получателей карт, должны проходить аудит на соответствие стандартам PCI DSS. Если продавец пренебрегает нормами безопасности, он рискует получить штраф. 

Сумма такого списания зависит от объемов транзакций компании и количества нарушенных требований. Обратите внимание, что штраф платится не один раз, а ежемесячно, пока проблему не решат. 

Если банк-эмитент или банк-эквайер понесут потери из-за халатности мерчанта, тот должен возместить их в полном размере. Часто сумма штрафа достигает 100 тыс. долларов.  

Однако, штрафы это не самое страшное из того, причиной чего может стать несоблюдение стандартов PCI DSS. Если продавец не обеспечивает безопасную инфраструктуру, утечка данных неизбежна. В результате клиенты теряют деньги. Стоит ли говорить, что это негативно отразиться на репутации бизнеса и повлечет за собой потерю клиентов. 

Пожалуй, самое неприятное последствие несоблюдения стандартов безопасности - отказ платежных систем сотрудничать с мерчантом. Такой финал приравнивается к выходу из онлайн-бизнеса, особенно если мы говорим о приеме оплаты картами Visa или MasterCard.

В зависимости от типа бизнеса, количества транзакций в год и наличия рисков мерчанту присваивают уровень PCI DSS. Всего их 4 уровня. Чтобы получить сертификат определенного уровня, необходимо пройти аудит на соответствие стандартам PCI DSS. Когда сертификат получен, его нужно подтверждать раз в год и ежеквартально проходить микроаудит по отдельным пунктам.

Рассмотрим 4 уровня PCI и процедуру, которые необходимо проходить, чтобы подтвердить сертификат.

• Уровень 1

Если продавец обрабатывает 6 млн и более транзакций в год, ему необходимо получить первый уровень PCI DSS. Те мерчанты, которые обрабатывают меньше транзакций, но у них ранее были зафиксированы проблемы с безопасностью, также вынуждены проходить аудит по стандарту PCI DSS уровень 1.

Каждый год продавец обязан проходить процедуру сертификации, чтобы подтвердить свой уровень. Процедура предлагает проверку инфраструктуры организации и разработку рекомендаций по улучшению безопасности.

• Уровень 2

Применяется к продавцам, которые обрабатывают более 1 млн транзакций по кредитным и дебетовым картам ежегодно.

Чтобы подтвердить этот уровень, мерчанты заполняют анкеты самостоятельного оценивания (SAQ). Однако, с 2012 года такую анкету может заполнить только сотрудник, прошедший специализированный тренинг PCI, или специалист компании-аудитора. Кроме того, продавцы проходят ежеквартальное ASV-сканирование на наличие слабых мест информационной структуры компании.

• Уровень 3

Такой сертификат получают продавцы, которые обрабатывают от 20 тыс. до 1 млн транзакций ежегодно. Чтобы его подтвердить, онлайн-торговцы заполняют SAQ раз в три месяца. Также может потребоваться ежеквартальное сканирование ASV, после завершения которого продавец получает Attestation of Compliance - документ, отражающий результаты оценки PCI DSS.

• Уровень 4

Сертификат присваивают мерчантам, которые обрабатывают менее 20 тыс. транзакций в год. Подтвердить уровень можно с помощью анкеты самооценки и ASV-сканирования.

Если вы нацелены самостоятельно получить сертификат, необходимо соответствовать требованиям стандарта безопасности. Но, это далеко не все. Чтобы пройти аудит, нужно обратиться в специализированную компанию, которая имеет право проводить сертификацию. Таких в Украине немного, и на это есть причины:

• компания-аудитор обязана иметь страховое покрытие на 2 млн долларов; 
• сотрудники должны пройти обучение и сдать соответствующий экзамен; 
• компания должна пройти аккредитацию, чтобы подтвердить компетентность в сфере кибербезопасности.  

В поисках подходящей организации мерчанты рискуют попасть на фирмы, которые хоть и проводят сертификацию по стандарту PCI DSS, но все их ключевые сотрудники находятся в США. Такое сотрудничество будет стоить немалую сумму денег и займет много времени. 

Что касается стоимости сертификата, здесь все зависит от таких факторов, как тип бизнеса и размер организации. Если у вас малый бизнес, соблюдение PCI DSS будет стоить от 300 долларов в год. Если у вас очень крупное предприятие, которое нуждается в ежегодном аудите, готовьтесь заплатить более 10 тыс. долларов.

Цена во многом зависит от уровня PCI DSS. Чем дороже проверки, тем дороже они стоят. Не забывайте о ресурсах, необходимых для выполнения требований PCI - это ПО и специалисты, которые будут обеспечивать безопасность данных.  

Культура безопасности также имеет значение, когда речь идет о стоимости PCI DSS. Если сохранность данных является одним из приоритетов компании, вероятно, этому вопросу всегда уделяли много внимания. Когда критических проблем с безопасностью не много, или вообще нет, то и затраты на их устранение будут минимальны.

Получить сертификат PCI DSS не просто, а подтверждать его постоянно - еще труднее. Как правило, мерчанты выбирают альтернативный вариант и поручают работу с транзакциями платежному провайдеру. Это компания, которая отвечает за обработку платежей и обеспечивает безопасность.

Как это работает: компания-посредник, с которой вы сотрудничаете, сама принимает платежи, обрабатывает их, направляет данные в банк и платежную систему. Важно, что мерчант не имеет никакого отношения к личной информации клиентов. Поставщик услуг берет на себя всю ответственность за обеспечение безопасности данных согласно нормам PCI.

Платежный провайдер Tranzzo также каждый год проходит сертификацию по самому высокому стандарту PCI DSS, чтобы помогать бизнесу безопасно принимать оплату на сайтах и в приложениях. Мы предлагаем различные платежные решения: оплата картами, рекуррентные платежи, онлайн-инвойсинг, Apple Pay, Google Pay, Telegram Pay и др. Кроме того, мы используем трехуровневую анти-фрод систему и технологию 3D Secure, чтобы платежные данные ваших клиентов были под защитой.

У нас нет никаких ежемесячных списаний и платы за регистрацию. Вы оплачиваете только комиссию за транзакцию - сумма зависит от денежного оборота (стандартная ставка - от 2,7%).  

За более подробной информацией обращайтесь к нашим специалистам. Они проконсультируют вас обо всех тарифных ставках, условиях сотрудничества и платежных решениях, подходящих для вашего бизнеса.