Речь идет о стандартах безопасности информации, принятых при проведении операций с платежными картами. Их разработкой занимались специалисты MasterCard и Visa. Все организации, планирующие работать с «пластиком» в онлайн-режиме, обязаны выполнять данные правила. Сертификация по PCI DSS позволяет интернет-компаниям создавать собственные платежные системы для взаиморасчетов с произвольным количеством банков-эмитентов. Это, как минимум, очень удобно для клиентов, которые могут заплатить за товар с помощью любой карточки, имеющейся в наличии.
Если компания не прошла сертификацию или даже не обращалась за данной услугой, то ни Visa, ни MasterCard с ней работать не будут. Они же осуществляют последующий контроль соблюдения стандартов. При выявлении нарушений или уязвимостей накладываются штрафные санкции, а после сотрудничество прекращается либо на время устранения недостатков, либо навсегда.
В Киеве выдачей сертификатов PCI DSS занимается компания Compliance Control, получившая соответствующую аккредитацию и статус независимого аудитора (QSA). Это не карательный орган, а бизнес-партнер, который поможет не только отладить сферу безопасности, но и обеспечит постоянную всестороннюю сервисную поддержку, чтобы минимизировать даже гипотетическую вероятность появления проблем.
О сертификатах
В настоящее время система PCI DSS структурно состоит из сертификатов четырех уровней, каждый из которых дает формальное право на осуществление того либо иного количества ежегодных транзакций. Для сравнения Level-4 допускает не более 20тыс. операций, а Level1 – свыше 6млн. В первом случае для подтверждения собственной состоятельности требуется каждый квартал для поиска уязвимостей проводить, так называемое, «ASV-сканирование» и заполнять листы самооценки (SAQ), а во втором – нужно привлекать независимого аудитора.
Он обследует информационную инфраструктуру, выдаст рекомендации и укажет нормативные документы, требования которых необходимо выполнить, чтобы соответствовать стандартам, а также проконсультирует по вопросам внедрения. Следует понимать, что адаптированные платежные системы дают компаниям не только конкурентные преимущества, но и накладывают дополнительные обязательства по противодействию мошенническим операциям с банковскими карточками. Необходимые собственные системы мониторинга и анти-фрод.