Чому сертифікат PCI DSS важливий для мерчантів

В Україні, як і у всьому світі, активно розвивається сфера e-commerce. Нові онлайн-магазини з’являються кожен день. В результаті такого активного розвитку електронної комерції, кількість шахрайських операцій стрімко росте.

Онлайн-продажі напряму пов’язані з використанням банківських карток та електронних карток, тому для мерчантів особливо актуальне питання кібербезпеки. Щоб запобігти відтік особистих даних клієнтів та втрату прибутків, продавці повинні відповідати стандартам захисту даних, котрі прийняті в індустрії платіжних карток. Цей галузевий стандарт називається PCI DSS. У ньому закріплені норми безпеки, згідно з якими мерчант повинен приймати, обробляти та зберігати платіжні дані покупців.

У статті розглянемо наступні питання: що таке PCI DSS, які існують рівні сертифіката, як його отримати в Україні, та скільки це коштує.

Норми безпеки PCI DSS придумали такі платіжні системи, як Discover, MasterCard, Visa та American Express. Всі, хто обробляє хоч би одну транзакцію в рік, зобов’язані відповідати цим нормам. Так мерчанти гарантують безпеку конфіденційних даних отримувачів карток, коли ті платять в інтернеті.

Щоб отримати сертифікат PCI, компанія повинна виконувати вимоги, прописані міжнародними платіжними системами. Всі вони зводяться до наступних цілей: 

• створити безпечну мережеву інфраструктуру; 
• захистити платіжні дані клієнтів; 
• дотримуватися політику інформаційної безпеки; 
• забезпечити життєдіяльність програм керування загрозами та вразливості; 
• впровадити заходи, спрямовані на контроль доступу до будь-яких даних;  
• проводити постійний моніторинг та перевірку мережі.

Вимоги PCI DSS обов’язкові для всіх власників бізнесу, незалежно від їхнього рівня прибутку та сфери діяльності.

З 2004 року всі, хто взаємодіє з платіжними даними отримувачів карток, повинні проходити аудит на відповідність стандартам PCI DSS. Якщо продавець нехтує нормами безпеки, він ризикує отримати штраф. Сума такого списання залежить від об’ємів транзакцій компанії та кількості порушених вимог. Зверніть увагу, що штраф сплачується не один раз, а щомісячно, поки проблему не розв’яжуть. 

Якщо банк-емітент або банк-еквайр зазнають втрат через недбалість мерчанта, той повинен відшкодувати їх у повному розмірі. Часто сума штрафу сягає 100 тис. доларів.  

Проте, штрафи це не найстрашніше з того причиною чого може стати недотримання стандартів PCI DSS. Якщо продавець не забезпечує безпечну інфраструктуру, витік даних неминучий. У результаті клієнти втрачають гроші. Чи варто казати, що це негативно відбитися на репутації бiзнесу та спричинить втрату клієнтів. 

Мабуть, найнеприємніший наслідок недотримання стандартів безпеки — відмова платіжних систем співпрацювати з мерчантом. Такий фінал прирівнюється до виходу з онлайн-бізнесу, особливо якщо ми говоримо про прийом оплати картками Visa або MasterCard.

В залежності від типу бізнесу, кількість транзакцій в рік та наявність ризиків мерчанту присвоюють рівень PCI DSS. Всього їх 4. Щоб отримати сертифікат певного рівня, необхідно пройти аудит на відповідність стандартам PCI DSS. Коли сертифікат отриманий, його потрібно підтверджувати раз на рік та щоквартально проходити мікроаудит за окремі пункти. 

Розгляньмо 4 рівні PCI та процедуру, котрі необхідно проходити, щоб підтвердити сертифікат.  

• Рівень 1. Якщо продавець обробляє 6 млн та більше транзакцій в рік, йому необхідно отримати перший рівень PCI DSS. Ті мерчанти, котрі обробляють менше транзакцій, але в них раніше були зафіксовані проблеми з безпекою, також змушені проходити аудит за стандартом PCI DSS рівень 1.  
  
  Кожен рік продавець зобов’язаний проходити процедуру сертифікації, щоб підтвердити свій рівень. Процедура пропонує перевірку інфраструктури організації та розробку рекомендацій покращення безпеки.  
• Рівень 2. Застосовується до продавців, які обробляють понад 1 млн транзакцій за кредитними та дебетовими картками щорічно.
  
  Щоб підтвердити цей рівень, мерчанти заповнюють анкети самостійного оцінювання (SAQ). Проте, з 2012 року таку анкету може заповнити тільки співробітник, котрий пройшов спеціалізований тренінг PCI, або спеціаліст компанії-аудитора. Крім того, продавці проходять щоквартальне ASV-сканування на наявність слабких місць інформаційної структури компанії.
• Рівень 3. Такий сертифікат отримують продавці, котрі обробляють від 20 тис. до 1 млн транзакцій щорічно. Щоб його підтвердити, онлайн-торгівельники заповнюють SAQ раз на три місяці. Також може знадобитися щоквартальне сканування ASV, після завершення якого продавець отримує Attestation of Compliance – документ, що відбиває результати оцінки PCI DSS.
• Рівень 4. Сертифікат присвоюють мерчантам, котрі обробляють менш ніж 20 тис. транзакцій в рік. Підтвердити рівень можна за допомогою анкети самооцінки та ASV-сканування.

Якщо ви націлені самостійно отримати сертифікат, необхідно відповідати вимогам стандарту безпеки. Але, це далеко не все. Щоб пройти аудит, потрібно звернутися до спеціалізованої компанії, котра має право проводити сертифікацію. Таких в Україні небагато, і на це є причини:

• компанія-аудитор зобов’язана мати страхове покриття на 2 млн доларів; 
• співробітники повинні пройти навчання та скласти відповідний екзамен; 
• компанія повинна пройти акредитацію, щоб підтвердити компетентність у сфері кібербезпеки.  

У пошуках відповідної організації мерчанти ризикують потрапити на фірми, котрі хоч і проводять сертифікацію за стандартом PCI DSS, але всі їхні ключові співробітники знаходяться в США. Таке співробітництво коштуватиме немалу суму грошей та займе багато часу. 

Що стосується вартості сертифікату, тут все залежить від таких факторів, як тип бізнесу та розмір організації. Якщо у вас малий бізнес, дотримання PCI DSS буде коштувати від 300 доларів на рік. Якщо у вас дуже велике підприємство, котре потребує щорічний аудит, готуйтеся заплатити понад 10 тис. доларів.

Ціна багато в чому залежить від рівня PCI DSS. Що дорожчі перевірки, то дорожче вони коштують. Не забувайте про ресурси, необхідні для виконання вимог PCI – це ПЗ та спеціалісти, котрі будуть забезпечувати безпеку даних.  

Культура безпеки також має значення, коли мова йде про вартість PCI DSS. Якщо збереженість даних є одним з пріоритетів компанії, імовірно, цьому питанню завжди приділяли багато уваги. Коли критичних проблем з безпекою не багато, або взагалі немає, то і витрати на їхнє усунення будуть мінімальні.

Отримати сертифікат PCI DSS не просто, а підтверджувати його постійно – ще важче. Як правило, мерчанти обирають альтернативний варіант та доручають роботу з транзакціями платіжному провайдеру. Це компанія, котра відповідає за обробку платежів та забезпечує безпеку.

Як це працює: компанія-посередник, з якою ви співпрацюєте, сама приймає платежі, обробляє їх, спрямовує дані в банк та платіжній системі. Важливо, що мерчант не має ніякого відношення до особистої інформації клієнтів. Постачальник послуг бере на себе всю відповідальність за забезпечення безпеки даних згідно з нормами PCI.

Платіжний провайдер Tranzzo також кожен рік проходить сертифікацію по найвищому стандарту PCI DSS, щоб допомагати бізнесу безпечно приймати оплату на сайтах та у додатках. Ми пропонуємо різноманітні платіжні рішення: оплата картками, рекурентні платежі, онлайн-інвойсинг, Apple Pay, Google Pay, Telegram Pay, тощо. Крім того, ми використовуємо трирівневу анти-фрод систему та технологію 3D Secure, щоб  платіжні дані ваших клієнтів були під захистом.

У нас немає ніяких щомісячних списань та плати за реєстрацію. Ви оплачуєте тільки комісію за транзакцію – сума залежить від грошового обігу (стандартна ставка – від 2,7%).  

За більш детальною інформацією звертайтеся до наших спеціалістів. Вони проконсультують вас про всі тарифні ставки, умови співробітництва та платіжні рішення, які підходять для вашого бізнесу.