Блог

Сертификация по PCI DSS для ритейлера: выгодная необходимость

Автор: Евгений Безгодов

Стандарт безопасности данных индустрии платежных карт PCI DSS знаком, возможно, не многим представителям сферы ритейл. В то же время, в течение всего 2011 года, на фоне динамичного роста числа банков и процессинговых структур, сертифицированных по этому стандарту, прослеживается явный тренд по смещению акцентов в сторону розничной торговли. Сегодня мы поговорим о причинах таких изменений и о том, как представителям сферы ритейла сориентироваться в вопросах сертификации.

Популярность платежей по картам в сфере ритейла в России заметно растет. И хотя объем этого рынка еще очень далек от европейского и, тем более, американского уровня, зарплатные проекты, ко-брендовые и предоплаченные карты постепенно делают свое дело.

Посмотрев на недавнюю историю аналогичного роста карточного рынка на Западе, мы можем сделать некоторые прогнозы относительно российского рынка. На Западе вместе с ростом количества платежей развивалось и мошенничество с платежными картами. Карты похищались, копировались, подделывались, по поддельным картам совершались покупки и снимались деньги в банкоматах. Это не могло не беспокоить международные платежные системы, такие как Visa, MasterCard, а также пока еще менее популярные в России American Express, Discovery и JCB. В 2006 г. они объединили свои усилия и создали международный стандарт безопасности данных индустрии платежных карт — PCI DSS.

Стандарт PCI DSS обязывает каждую организацию, обрабатывающую данные с платежных карт, такие как, например номер карты, информацию на магнитной полосе и ПИН-код, принимать определенные меры по их защите от компрометации.

Под требования PCI DSS попадают, прежде всего, такие типы компаний, как банки, процессинговые структуры и торгово-сервисные предприятия, принимающие платежи по картам. Таким образом, стандарт распространяется практически на всю сферу ритейла. Все эти организации обязаны соблюдать требования стандарта и ежегодно подтверждать свое соответствие этим требованиям.

На российский рынок PCI DSS пришел в 2007 г., когда у нас появилась первая компания — сертифицированный аудитор по этому стандарту — QSA-аудитор.

Разумеется, международные платежные системы не могли потребовать исполнения требований стандарта от всех организаций в одночасье. Поэтому были разработаны специальные программы продвижения стандарта. На первом этапе соответствия потребовали от банков, которые, в свою очередь, должны были требовать того же от обслуживаемых ими в рамках эквайринга торгово-сервисных предприятий.

Достижение соответствия PCI DSS банками заняло довольно длительный период и продолжается в России до сих пор. Пока количество сертифицированных по стандарту банков было незначительным, для торгово-сервисных предприятий существовал довольно свободный период, когда формально соответствие от них требовалось, но по факту не многие были об этом даже проинформированы со стороны своих банков.

На Западе этот период уже закончился несколько лет назад, и сейчас основный рынок сертификации по PCI DSS там составляют именно торгово-сервисные предприятия, в том числе средние и крупные торговые сети. Драйвер такого роста различен в разных странах. В Великобритании, например, банки существенно снижают процентную ставку за эквайринговые услуги для компаний, прошедших сертификацию. В Финляндии все крупные эквайеры требуют соответствия, не оставляя торгово-сервисным предприятиям выбора. В США этот рынок развит уже давно, и сертификация там поставлена на поток.

В России 2011 год ознаменовался бурным ростом рынка сертификации PCI DSS. В течение этого года было опубликовано небывалое количество пресс-релизов об успешном завершении проектов по сертификации российских банков и платежных агрегаторов. Их число достигло сегодня того уровня, когда можно с уверенностью утверждать: период отсрочки сертификации для торгово-сервисных предприятий скоро закончится. Ожидания роста подтверждаются появлением сразу трех новых компаний QSA-аудиторов на российском рынке в 2011 г., а интерес к сертификации со стороны торгово-сервисных предприятий — проведенным летом минувшего года тендером на сертификацию сразу трех крупнейших российских сетевых брендов в сфере ритейл.

Как получить сертификат

Приступая к подготовке к сертификации торгово-сервисному предприятию стоит, прежде всего, определиться, есть ли у него необходимость самостоятельно обрабатывать карточные данные.

Зачастую устройства для приема платежных карт — EFTPOS-терминалы — предоставляются и обслуживаются банком-эквайером или процессинговыми структурами, и подключаются по шифрованному каналу связи через Интернет прямо к процессингу банка. В этом случае, при правильной организации платежного процесса, карточные данные не попадают в информационную инфраструктуру торгово-сервисного предприятия. При таких условиях к торгово-сервисному предприятию применимо лишь относительно небольшое количество требований стандарта, а основная работа по обеспечению соответствия ложится на плечи банка.

Однако зачастую бывает так, что платежный процесс не отделен должным образом от инфраструктуры магазина, и карточные данные попадают на его кассовое и серверное оборудование. Мы не раз сталкивались с ситуацией, когда при наличии на кассе EFTPOS-терминала, предоставленного банком для считывания карт, бизнес-процесс организован таким образом, что карта прокатывается по считывателю, предназначенному для работы с дисконтными картами и встроенному в сам кассовый аппарат. Это накладывает на торгово-сервисное предприятие ответственность за возможные утечки данных держателей карт из его информационной инфраструктуры.

В некоторых случаях обработка карточных данных в информационной инфраструктуре торгово-сервисного предприятия может быть оправдана задачами и спецификой бизнеса. Однако и тогда стоит удостовериться в такой необходимости и принять решение организовать безопасность данных или все же переложить эту обязанность на свой банк-эквайер.

Для комплексного решения задач подготовки и сертификации по PCI DSS консультационные и аудиторские компании — QSA-аудиторы — предлагают готовые пакеты услуг. Стандартный проект по подготовке и сертификации выглядит следующим образом.

На первом этапе консультант выполняет предварительное обследование сертифицируемой организации. В ходе такого обследования проверяется соответствие информационной инфраструктуры компании каждому требованию стандарта. По результатам составляется отчет с перечнем проверенных требований и указанием выполненных и не выполненных требований и описанием соответствующих причин.

По всем невыполненным требованиям разрабатывается план работ с инструкциями по их выполнению.

Консультантом также разрабатываются для сертифицируемой организации внутренние нормативные документы, регламентирующие процессы информационной безопасности — начиная от политики информационной безопасности и заканчивая инструкциями для сотрудников и формами журналов регистрации событий.

После этого начинается этап внедрения в торгово-сервисном предприятии полученных от консультанта рекомендаций и документов. Эти задачи могут выполняться как силами заказчика, так и внешней организацией, и именно от этого этапа больше всего зависит срок реализации всего проекта.

После того, как внедрение завершено, и компания готова к проверке соответствия, выполняются финальные этапы проекта — сканирование уязвимостей информационной инфраструктуры, тестирование на проникновение и сертификационный аудит, по результатам которого компании выдается сертификат соответствия PCI DSS.

Сертификационный аудит выполняется только компаниями, обладающими специальным статусом — QSA-аудитор, выдаваемым регулятором отрасли — Советом PCI SSC. Срок выполнения всего проекта составляет в среднем от 3 до 12 месяцев, в зависимости от сложности сертифицируемой информационной инфраструктуры.

Какие преимущества принесет сертификация PCI DSS ритейлерам?

В преддверии активной сертификации торгово-сервисных предприятий по стандарту PCI DSS прохождение такой сертификации будет хорошим аргументом в выстраивании отношений с банками-эквайерами. Она позволит торгово-сервисной компании более свободно выбирать среди предложений, имеющихся на рынке эквайрингового обслуживания, и вести диалог о снижении процентных ставок. Сертификат будет также хорошим подспорьем в организации совместных проектов с банками, например, по запуску ко-брендовых карт для повышения лояльности определенных категорий клиентов.

Не стоит забывать также о снижении рисков, связанных как со штрафными санкциями за несоответствие стандарту, так и с мошенничеством с платежными картами и перспективой возврата незаконно списанных в пользу продавца денежных средств. Пока в России случаи срабатывания этих рисков весьма и весьма редки, но если помнить о том, что наш платежный рынок повторяет путь Западного с отставанием в 2–3 года, то значимость этого фактора будет постоянно возрастать.

Пресловутые имиджевые потери уже сегодня имеют несколько примеров в виде реальных историй, передаваемых владельцами карт через социальные сети. В них рассказывается о действиях злоумышленников, похитивших деньги с карт, однако при этом в негативном свете упоминаются также и торговые бренды, системы которых злоумышленники нелегально использовали в своих целях.

Объединение проекта сертификации торгово-сервисного предприятия по стандарту PCI DSS с мероприятиями по повышению лояльности покупателей и совместными проектами с банками-партнёрами способно повысить эффективности каждого из них.

0

Добавить комментарий