Совет по стандартам безопасности данных индустрии платежных карт (PCI SSC), созданный ведущими международными платежными системами Visa, Mastercard, Amex, Diners, Discovery и JCB, разработал правила и документы PCI DSS, которые определяют принципы и политику безопасности индустрии платежных карт. Требования PCI DSS предназначены для всех организаций, которые занимаются хранением, обработкой или передачей данных владельцев карточек и/или деликатных данных аутентификации либо могут повлиять на безопасность среды данных владельцев карточек. Речь идет о любых организациях, ведущих обработку платёжных счетов – торговых предприятиях, процессорах, эквайерах, эмитентах и других поставщиках услуг. В данных правилах определены технические и операционные требования, обязательные для организаций, которые принимают и обрабатывают платежные транзакции.
Новая версия правил и документов доступна здесь.
Все продавцы, которые занимаются хранением, обработкой или передачей данных владельцев карточек и/или деликатных данных аутентификации, должны соответствовать требованиям PCI DSS. Некоторые требования PCI DSS могут применяться к организациям, в среде которых не хранятся, не обрабатываются и не передаются данные счетов, – например, к организациям, которые отдают платёжные операции или управление своей средой данных о владельцах карточек на аутсорсинг.
Элементы данных счёта (данные карточки и деликатные данные аутентификации):
|
Элементы данных |
Ограничения на хранение |
Требуется сделать хранимые данные нечитаемыми |
| Данные владельцев карточек |
|
Номер первичного счёта (PAN) |
Хранение сведено к минимуму Если в Вашей системе сохраняется PAN, он непременно должен быть зашифрован. |
Да Номер карты (PAN) должен храниться в нечитаемом виде |
|
Имя владельца карточки |
Хранение сведено к минимуму Если в Вашей системе сохраняется PAN, он непременно должен быть зашифрован. |
Нет |
|
Код услуги Трех- или четырехзначный номер на магнитной полосе карты |
Хранение сведено к минимуму Если в Вашей системе сохраняется PAN, он непременно должен быть зашифрован. |
Нет |
|
Дата истечения срока действия |
Хранение сведено к минимуму Если в Вашей системе сохраняется PAN, он непременно должен быть зашифрован. |
Нет |
| Деликатные данные аутентификации Сенситивные данные не должны храниться после авторизации даже в зашифрованном виде |
|
Полные данные по треку Полные данные треков с магнитной полосы, чипа или другого источника |
Хранение после авторизации невозможно |
Да, данные, хранящиеся до завершения авторизации, должны быть защищены надежной криптографией |
|
Код проверки карточки Трехзначный код, нанесенный на лицевой или обратной стороне платежной карты |
Хранение после авторизации невозможно |
Да, данные, хранящиеся до завершения авторизации, должны быть защищены надежной криптографией |
|
PIN-код / Блок PIN-кода |
Хранение после авторизации невозможно |
Да, данные, хранящиеся до завершения авторизации, должны быть защищены надежной криптографией |
Как убедиться о соответствии требованиям PCI DSS?
Поставщик услуги ежегодно информирует по электронной почте торгово-сервисные предприятия о выполняемых действиях, необходимых для обеспечения соответствия стандартам PCI DSS. Данные требования приведены в таблице.
Торгово-сервисные предприятия делятся на четыре уровня в зависимости от количества ежегодно обрабатываемых транзакций по картам одного бренда (т.е. Mastercard, VISA, Amex и др.). Торгово-сервисные предприятия с 1-го по 3-й уровень должны проинформировать нас о статусе своего соответствия после проведения всех необходимых действий, в свою очередь. Tоргово-сервисные предприятия 4-го уровня должны проинформировать нас о своем статусе соответствия, заполнив и отправив нам анкету самооценки (SAQ).
| Уровень |
Критерии сделок торгово-сервисных предприятий |
Действия торгово-сервисных предприятий |
Частота |
| 1-й уровень |
Торгово-сервисные предприятия, обрабатывающие 6 млн. и более транзакций по картам Mastercard или Visa в год |
Внешний аудит безопасности, выполняемый Квалифицированным экспертом безопасности (QSA) |
Ежегодно |
| Сканирование сети, выполняемое сертифицированным поставщиком услуг сканирования (ASV) или квалифицированным экспертом безопасности (QSA) |
Ежеквартально |
| 2-й уровень |
Торгово-сервисные предприятия, обрабатывающие от 1 до 6 млн. транзакций по картам Mastercard или Visa в год |
Квалифицированный эксперт безопасности (QSA) или внутренний оценщик безопасности (ISA) Торгово-сервисные предприятия 2-го уровня, выбравшие заполнение ежегодной анкеты самооценки, должны обеспечить, чтобы участвующие в самооценке работники ежегодно проходили обучение PCI SSC с последующей сдачей экзамена по аккредитованной программе. Данное условие является обязательным для того, чтобы предприятие и в дальнейшем могло использовать самооценку для оценки соответствия. В качестве альтернативы торгово-сервисные предприятия вместо заполнения анкеты самооценки могут выбрать ежегодную проверку на месте, которую проводит утвержденный советом PCI SSC квалифицированный эксперт безопасности (QSA). |
Ежегодно |
|
1. Торгово-сервисные предприятия, заполняющие анкету самооценки A, A-EP или D, должны привлекать QSA или ISA для ежегодной проверки соответствия
2. Торгово-сервисные предприятия, заполняющие анкету самооценки B, B-IP, C-VT, C или P2PE, теперь могут проводить самооценку без привлечения QSA или ISA для проверки соответствия
|
Ежегодно |
| Сканирование сети, выполняемое сертифицированным поставщиком услуг сканирования (ASV) или квалифицированным экспертом безопасности (QSA) |
Ежеквартально |
| 3-й уровень |
Торгово-сервисные предприятия э-коммерции, обрабатывающие от 20 000 до 1 млн. транзакций по картам Mastercard или Visa в год |
Требуется ежегодное заполнение анкеты самооценки (SAQ) |
Ежегодно |
| Сканирование сети, выполняемое сертифицированным поставщиком услуг сканирования (ASV) или квалифицированным экспертом безопасности (QSA) |
Ежеквартально |
| 4- уровень |
Другие торгово-сервисные предприятия |
Ежегодное заполнение анкеты самооценки (SAQ) по выбору торгово-сервисного предприятия |
Рекомендовано - ежегодно |
| Сканирование сети, выполняемое сертифицированным поставщиком услуг сканирования (ASV) или квалифицированным экспертом безопасности (QSA) |
Рекомендовано - ежегодно |
Важно! Торгово-сервисные предприятия должны проводить:
- Аудит безопасности, выполняемый сертифицированным аудитором, который выступает в качестве квалифицированного эксперта безопасности (QSA) от поставщиков услуг, приведенных на официальном сайте PCI DSS.
- Сканирование сети, выполняемое квалифицированным поставщиком решений сканирования, который выступает в качестве сертифицированного поставщика услуг сканирования (ASV) или квалифицированного эксперта безопасности (QSA). Сертифицированный поставщик услуг сканирования (ASV) может выполнять сканирование для предприятий электронной торговли и предприятий с физическими местами торговли, но не имеет право проводить ежегодные аудиты.
- Внутренний аудит, в рамках которого необходимо ответить на вопросы анкеты самооценки (SAQ). Содержание анкеты зависит от технического решения.
Требования и цели PCI DSS
12 требований и целей, приведенные в таблице ниже, помогут вам понять, какие действия должны проводиться для обеспечения соответствия правилам PCI DSS.
| Цели |
Требования PCI DSS |
| Построить и поддерживать защищенные сети и системы |
1. Установка и обслуживание средств обеспечения безопасности сети.
2. Применение безопасных конфигураций ко всем компонентам системы.
|
| Защищать данные держателей карт |
3. Защита хранящихся данных счетов.
4. Защита данных владельцев карточек с помощью надёжной криптографии при передаче по открытым, общедоступным сетям.
|
| Поддерживать программу управления уязвимостями |
5. Защита всех систем и сетей от вредоносных программ.
6. Разработка и поддержка безопасных систем и программного обеспечения.
|
| Внедрять строгие меры контроля доступа |
7. Ограничение доступа к компонентам системы и данным владельцев карточек в соответствии с потребностями бизнеса.
8. Идентификация пользователей и аутентификация доступа к компонентам системы.
9. Ограничение физического доступа к данным владельцев карточек.
|
| Осуществлять регулярный мониторинг и тестирование сетей |
10. Регистрация и контроль всего доступа к компонентам системы и данным владельцев карточек.
11. Регулярное тестирование системы безопасности и сети.
|
| Поддерживать политику информационной безопасности |
12. Поддержка информационной безопасности с помощью политик и программ организации. |
Для получения более подробной информации посетите https://www.pcisecuritystandards.org/
Держатель карты имеет право оспорить любую сделку, совершенную с помощью карты Mastercard или Visa. Подобные претензии решаются в формате Chargeback и регулируются правилами, разработанными соответствующими международными организациями. В процессе Chargeback бремя доказывания ложится на продавца, которому должен предъявить документацию, подтверждающую законность сделки. В случае предъявления продавцом требуемых документов сумма сделки зачисляется обратно на его счет. В свою очередь, если продавец сделать это не в состоянии или не дает ответ в установленный срок, он обязан вернуть соответствующую сумму клиенту, подавшему претензию.
Наиболее частые причины Chargeback
Наиболее частые причины Chargeback:
- держатель карты не совершал соответствующую сделку (нередко является признаком мошенничества);
- отменяется регулярный платеж;
- товар не соответствует описанию;
- товар имеет дефект или брак;
- продавец не отвечает на запросы по купонам.
Процесс Chargeback может быть инициирован и по другим причинам, например, в случае неполучения товаров/услуг.
Как избежать Chargeback?
Как избежать Chargeback:
- Чтобы уберечь себя от претензий, связанных с недоставкой товара, рекомендуем использовать услуги компаний, предоставляющих подтверждение доставки.
- Чтобы избежать претензий, связанных с поломкой/повреждением товара, в случае отправки хрупких предметов советуем оформлять страхование перевозок. Обязательно установите четкие сроки, в которые подобные претензии должны быть рассмотрены.
- Если вы получили претензию в связи с повреждением товара, возникшим не во время перевозки, у вас есть два способа решения проблемы: если на товар распространяется гарантия, попросите клиента связаться напрямую с производителем или попросите клиента отправить товар назад вам. Обеспечьте, чтобы в вашей политике возврата были четко оговорены сроки возврата и порядок авторизации возвращенных товаров.
- Если клиент утверждает, что он не заказывал указанный товар, вы должны предъявить документацию, подтверждающую заказ клиента.
- Чтобы иметь надежную доказательную базу, все переговоры с клиентом ведите в письменном виде по электронной почте.
- Все правила и условия должны быть четко оговорены на сайте, предоставляющем соответствующие услуги. Информация, которая должна быть предоставлена клиенту перед заключением договора, прописана в нормативных актах, регулирующих защиту прав потребителей. Данные нормативные акты обязательны для любого лица, продающего товары или оказывающего услуги дистанционным способом.
- Информацию необходимо подавать в простом и понятном виде, и она должна соответствовать используемым дистанционным средствам связи. Предоставляемая информация должна содержать четкие сведения о соответствующих товарах или услугах, их цене (включая НДС и другие налоги), стоимости доставки, а также информацию о правах отказа клиента. Необходимо указать также полную контактную информацию вашего предприятия.
- Если заказанные клиентом товары или услуги могут быть недоступны, вы должны информировать клиента о том, готовы ли вы поставить ему вместо заказанных товаров или услуги другие товары или услуги равноценного качества и стоимости.
