Захист даних при процесуванні платежів, особливо при використанні онлайнових методів, став гострою проблемою в останні роки, коли електронні платежі стрімко набрали обертів. Щоб запобігти шахрайству, пов'язаному з крадіжками даних карток, світові платіжні системи об'єдналися і розробили Стандарт безпеки даних індустрії платіжних карток (PCI DSS) — набір заходів безпеки, що забезпечують повний захист даних карток та інших конфіденційних даних, що використовуються у фінансових транзакціях. Відтоді будь-яка організація, яка так чи інакше займається прийомом, процесуванням, передачею та зберіганням платежів власників карток, повинна відповідати вимогам стандарту PCI DSS. Установи, які повинні відповідати вимогам PCI DSS включають в себе банки, мерчантів, провайдерів платіжних послуг та інші організації, що задіяні в процесингу електронних платежів.
Розвиток і поліпшення захищеної мережевої інфраструктури
Захист даних власників карток за допомогою шифрування та інших методів безпеки
Моніторинг процесу оновлення компонентів системи і антивірусного ПЗ
Контроль і розмежування доступу до інформаційних ресурсів
Регулярне тестування і моніторинг безпеки системи
Політика інформаційної безпеки
Як ми бачимо, вимоги стандарту PCI DSS охоплюють безпеку інформаційної інфраструктури на всіх рівнях. Якщо бізнес має принаймі якесь відношення до процесингу, передачі або зберігання даних карток клієнтів, інформаційна безпека повинна постійно підтримуватися як внутрішніми фахівцями, так і партнерськими організаціями.
Нерідко зручні онлайнові платежі в один клік на комерційних сайтах мають неприємні наслідки для власників карток. У зв'язку з вибуховим зростанням онлайнових покупок, значно збільшилася кількість випадків витоків карткових даних і шахрайства. Оскільки платіжний шлюз незамінний для процесування онлайнових платежів, інтеграція шлюзу без дотримання вимог PCI DSS може потягнути за собою безліч ризиків, пов'язаних з можливими витоками конфіденційних даних клієнтів третім особам і використанням цих даних в шахрайських цілях. Звичайно, такі моменти — великий удар по репутації бізнесу. Ось чому створення безпечного платіжного середовища є необхідністю.
Стандарт PCI DSS універсально застосовний до провайдерів платіжних послуг, інтернет-еквайрингових і процесингових компаній. Те ж саме стосується платіжного шлюзу, який несе пряму відповідальність за захист даних при процесингу транзакцій. Тому кожен мерчант, який дорожить своєю репутацією, вдасться до усіх необхідних кроків для забезпечення максимальної безпеки конфіденційних даних карток своїх споживачів і обере платіжний шлюз, що відповідає стандарту PCI DSS.
Стандарт PCI DSS висуває досить жорсткі вимоги до безпеки будь-яких компаній, які передають, процесують або зберігають платіжну інформацію. Більш того, навіть якщо організація вже пройшла сертифікацію, все одно проводиться щорічна комплаєнс-перевірка. Такі аудити допомагають визначити, чи сумлінно бізнес виконує вимоги безпеки або отримав сертифікат PCI DSS просто 'для галочки'. У разі порушення компанія повинна буде виплатити значний штраф.
Рівень 1: понад 6 мільйонів транзакцій щорічно
Рівень 2: від 1 мільйона до 6 мільйонів транзакцій в рік
Рівень 3: від 20 тисяч до 1 мільйона транзакцій на рік
Рівень 4: до 20 тисяч транзакцій щорічно
Примітно, що перевірка відповідності вимогам стандарту PCI DSS першого рівня проводиться із залученням незалежного QSA-аудитора. Процедура сертифікації на даний PCI DSS-рівень включає в себе широкий аудит інформаційної інфраструктури компанії, розробку рекомендацій та нормативних документів, необхідних для відповідності стандарту, а також консультаційну підтримку при впровадженні. Щоб підтвердити відповідність іншим рівням PCI DSS, бізнесу необхідно буде заповнити лист самооцінки (SAQ) або провести внутрішній аудит (ISA).
Рада зі стандартів безпеки індустрії платіжних карток зобов'язує всі банки, мерчантів, провайдерів та інші організації, які беруть участь в процесингу платежів, дотримуватися стандарту PCI DSS. Без нього організацію не можна вважати надійною, і ви не можете довіряти їй свої особисті дані. Платіжний шлюз можна порівняти зі звичайним POS-терміналом у фізичному магазині. Його основне завдання при процесингу онлайнових платежів — забезпечити повну безпеку конфіденційних даних кредитної картки клієнта. Заходи безпеки, які зазвичай забезпечує шлюз, це шифрування, токенізація та інші. Щоб забезпечити шифрування і безпеку всіх даних при процесуванні платежів, мерчанти використовують шлюзи, що відповідають стандарту PCI DSS. Таким чином, інтеграція платіжного шлюзу, що відповідає PCI DSS, є обов'язковою для представників онлайн-бізнесу, які прагнуть надавати якісні послуги і завоювати довіру клієнтів.
Коли мова йде про передачу або зберігання конфіденційних даних дебетових або кредитних карток, безпека повинна бути головним пріоритетом як для власників карток, так і для бізнесу. Corefy відповідає суворим вимогам найвищого рівня PCI DSS. Наша команда уважно стежить за кожною транзакцією, щоб захистити організації та їх клієнтів від можливої крадіжки особистих даних і шахрайства. Довіривши процесинг своїх транзакцій Corefy, ви позбудетеся від необхідності проходити PCI DSS-сертифікацію, оскільки у вашому розпорядженні вже буде повністю захищена система процесування платежів. Підвищіть якість обслуговування клієнтів, забезпечивши максимальний захист їх особистих даних.