Перейти к содержанию

Соответствие требованиям PCI DSS

При обработке платежей, передаче и хранении данных карт необходимо соблюдать стандарты безопасности данных в индустрии платежных карт (Payment Card Industry Data Security Standards, PCI DSS ).

Компания Corefy Ltd сертифицирована по стандарту PCI DSS как поставщик услуг 1-го уровня (Level 1 Service Provider).

Соответствие требованиям PCI является нашей с вами общей ответственностью. Поэтому при принятии платежей важно, чтобы обработка транзакций проходила в соответствии с требованиями PCI. Сложность этого процесса зависит от методов интеграции, но самый простой способ — никогда не видеть и не получать доступ к карточным данным ваших клиентов.

Наши советы:

  • Используйте один из наших методов для интеграции, который позволяет прием платежей без обработки карточных данных (Checkout).
  • Используйте протокол TLS (Transport Layer Security) и HTTPS (HyperText Transfer Protocol Secure) для всех платежных страниц.
  • Раз в год обновляйте и подтверждайте ваше соответствие требованиям PCI DSS.

Что значит PCI DSS?

Совет по стандартам безопасности PCI управляет стандартами безопасности для индустрии платежных карт. Совет был образован Visa, MasterCard, American Express, JCB и Discover.

Он работает в пяти основных направлениях:

  1. Разработка и поддержка глобального, отраслевого стандарта безопасности технических данных для защиты информации о счетах владельцев карт.
  2. Сокращение затрат и времени на внедрение стандарта безопасности данных. Совет работает над установлением и обеспечением соблюдения общих технических стандартов и процедур аудита.
  3. Сбор данных и публикация списка поставщиков решений для обеспечения безопасности, доступных по всему миру, на своем сайте, чтобы помочь отрасли соответствовать требованиям стандарта.
  4. Подготовка, обучение и сертификация квалифицированных специалистов по оценке безопасности (QSA) и утвержденных поставщиков систем сканирования (ASV). Таким образом обеспечивается работа единого центра сертификации, признанный всеми пятью членами-основателями.
  5. Обеспечение доступа к транспарентному форуму, на котором все заинтересованные стороны могут вносить вклад в текущую разработку, совершенствование и распространение стандартов безопасности данных.

Подключение резервных механизмов контроля (Compensating Controls) возможны в том случае, если организация не может выполнить явно указанное требование из-за законных технических или документально подтвержденных деловых ограничений, но в достаточной степени снизила упомянутый в требованиях риск с помощью усиления других мер контроля.

1 уровень (Level 1)

Торгово-сервисные предприятия (ТСП), которые обрабатывают более 6 миллионов транзакций Visa или MasterCard в год И ТСП, через системы которых были скомпрометированы данные о держателях карт, или ТСП, отнесенные международной платёжными системами Visa или MasterCard к 1 уровню.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором (Qualified Security Assessor) или ISA-аудитором (Internal Security Assessor) на объекте организации;
  • ежеквартальное ASV-сканирование (Approved Scan Vendor);
  • аттестация на соблюдение требований стандарта.

2 уровень (Level 2)

ТСП, которые обрабатывают от 1 до 6 миллионов транзакций Visa или MasterCard в год.

  • ежегодный аудит, выполняемый QSA-аудитором (Qualified Security Assessor) или ISA-аудитором (Internal Security Assessor) на объекте организации;
  • ежеквартальное ASV-сканирование (Approved Scan Vendor);
  • аттестация на соблюдение требований стандарта.

3 уровень (Level 3)

ТСП, которые обрабатывают от 20 тысяч до 6 миллионов транзакций Visa или MasterCard в год.

  • ежегодная самооценка соответствия с заполнением опросного листа (Self Assessment Questionnaire, SAQ) ;
  • ежеквартальное ASV-сканирование — при необходимости;
  • аттестация на соблюдение требований стандарта в рамках SAQ.

4 уровень (Level 4)

ТСП, обрабатывающие до 20 000 транзакций в год с применением средств электронной коммерции, а также иные ТСП, обрабатывающие до 1 млн транзакций в год.

  • рекомендована ежегодная самооценка соответствия с заполнением опросного листа SAQ;
  • рекомендовано ежеквартальное ASV-сканирование;
  • аттестация на соблюдение требований стандарта в рамках SAQ.

Проверка вашего соответствия требованиям PCI

Если вы не соблюдаете Стандарты безопасности данных индустрии платежных карт (PCI DSS), вы будете нести ответственность за любые убытки в результате мошенничества, а также можете столкнуться со значительными штрафами. Ваши клиенты пострадают, если данные их карт будут скомпрометированы, а в результате — пострадает ваша деловая репутация. Принятие ответственности за соответствие требованиям PCI должно быть частью Условий и правил предоставления услуг (Terms & Conditions) вашего торгового предприятия.

Все сотрудничающие с нами торговые предприятия должны ежегодно проверять соответствие PCI. Большинство может сделать это с помощью опросного листа самооценки Self-Assessment Questionnaire, SAQ , который предоставляется Советом по стандартам безопасности PCI.

Note

Требования для интеграции платежей с полными карточными данными (host-to-host): SAQ D.

Нужна помощь?

Если у вас есть вопросы или вы не уверены в соответствии вашего предприятия требованиям PCI, пожалуйста, обратитесь за помощью в нашу службу поддержки .