Платежи по пластиковым картам уверенно продолжают увеличивать свою долю в общем объеме потребительских транзакций. С одной стороны, это повышает привлекательность теневого рынка карточных данных для мошенников, а с другой — заставляет международные платежные системы закручивать гайки с точки зрения соблюдения требований по безопасной обработке и хранению данных держателей карт. Эти требования изложены в международном стандарте PCI DSS (Payment Card Industry Data Security Standard). Прохождение аудита на соответствие требованиям этого стандарта — серьезная задача для предприятия. Чтобы разобраться в сложностях подготовки к сертификации и способах облегчить эту задачу, мы обратились с вопросами к тем участникам рынка, для которых сертификация PCI DSS является необходимым требованием для нормальной работы, — к платежным системам и шлюзам.

В апреле 2016 года журналисты редакции Первого блога о корпоративном IaaS провели опрос среди 50 наиболее значимых игроков на рынке электронных платежей в России и Казахстане. Крупнейшие платежные системы и шлюзы рассказали нам о том, какие сложности сопровождают подготовку к аудиту на соответствие PCI DSS, как можно облегчить эту задачу и на каком уровне передать ответственность за выполнение требований стандарта внешнему поставщику.

Преимущества сертификации PCI DSS

Подготовка к аудиту и реализация требований — это не только трудоемкая задача, но и новые возможности для компании. В первую очередь — это возможность повысить реальный уровень безопасности процессов внутри компании.

"Основное преимущество использования PCI DSS — появление лишнего аргумента, позволяющего убедить сотрудников подразделений, не связанных напрямую с информационной безопасностью, в необходимости выполнения элементарных процедур по безопасности. Требования данного стандарта должны реально выполняться (в отличие от требований большинства российских стандартов, подразумевающих довольно формальный подход) для того, чтобы компания соответствовала критериям, введенным международными платежными системами, и могла работать на соответствующем рынке. Это является отличным мотиватором даже для бизнес-подразделений, чей уровень грамотности в области безопасности не всегда соответствует нынешним реалиям.

Кроме того, PCI DSS структурирует понимание, к чему нужно стремиться, у самих сотрудников служб информационной безопасности. Это позволяет добиться более высокой эффективности их работы" - Павел Антипов, директор службы безопасности ООО «Контакт-Центр».

Факт прохождения аудита на соответствие стандарту PCI DSS говорит клиентам компании о действительно высоком уровне защищенности их карточных данных.

"PCI DSS — это стандарт безопасности в платежной индустрии. Как и любой вопрос безопасности, это требование, выработанное годами и обусловленное всем накопленным опытом тысяч банков и сотен миллионов клиентов по всему миру. Таким образом, соответствие указанному стандарту — это не просто формальная процедура, а исключительно важный вопрос хранения, обработки и передачи данных о клиентах, использующих средства платежа. Основное преимущество заключается в том, что подобная сертификация является доказательством безопасности используемых решений для клиента" - Денис Хренов, директор по развитию бизнеса «БПЦ Процессинг».

"Для платежного шлюза прохождение сертификации на соответствие требованиям PCI DSS означает наличие всеобъемлющего подхода к обеспечению безопасности. Полноценно защищать от мошеннических действий данные банковских карт помогают только комплексные меры. PCI DSS активно развивается и ежегодно обновляет требования к безопасности в компании — начиная от подбора персонала и его обучения, заканчивая целостностью и конфиденциальностью данных. Эти требования являются шкалой оценки профессионализма для самой компании" - Валерий Аблеков, технический директор Payture.

Кроме того, психологически проще доверять компании, сертифицированной по PCI DSS.

"Преимущества от сертификации PCI DSS можно разделить на две категории: имиджевые и технологические. С точки зрения технологии совершенно любой сервис становится более надежным и безопасным, это как гарантии сохранности данных клиентов, так и устойчивость сервиса в отношении внешних угроз (вирусы, DdoS-атаки и проч.).
Имиджевая составляющая тоже есть. Во-первых, любой сервис с сертификатом воспринимается как более надежный, хотя и не все знают, что такое PCI DSS. Но даже люди, далекие от темы кибербезопасности, при регулярных платежах онлайн видят лого PCI DSS и воспринимают его как дополнительную степень защиты, как SSL-сертификат, например" - Виктор Шашмурин, генеральный директор ООО «Магнум» (Onpay.ru)

А реализованная защита от попыток злоумышленников похитить карточные данные позволяет избежать связанных с этим убытков и штрафов.

"Сертификация для нас обязательна, так что до сих пор не было возможности оценить преимущества работы с PCI DSS и без него. Но что точно можно сказать — жить с сертификатом спокойнее. Буквально за последние два года количество попыток злоумышленников взломать данные наших клиентов участились, и работа в полном соответствии с требованиями сертификата помогает снизить интенсивность головной боли. Плюс пользователи, которые видят знак PCI DSS на нашей платежной странице, показывают большую конверсию успешных платежей" - Дмитрий Попов, коммерческий директор IntellectMoney.

Сертификация PCI DSS дает дополнительные преимущества и тем компаниям, которые не занимаются интернет-платежами как основной деятельностью.

"Для сервис-провайдеров, компаний, оказывающих услуги интернет-эквайринга и процессинга, сертификация PCI DSS является обязательной. Это требованиям МПС.

Общими для всех преимуществами такой сертификации являются: возможность работать с банками и процессинговыми центрами напрямую, снижение издержек на посредников, возможность принимать банковские карты на собственных платежных страницах, имидж. Но главное — компаниям, решившим пройти сертификацию, так или иначе придется обращать значительное внимание на безопасность своей инфраструктуры.

Сложности при прохождении аудита в первый раз могут возникнуть на этапе построения безопасной инфраструктуры и выполнения всех применимых требований стандарта. Поддержание выполнения требований до последующих аудитов — не менее кропотливый вопрос, требующий постоянных внутренних проверок, тестирований" - Иван Кравец, руководитель информационной безопасности Intervale.

Это повышает уровень сервиса при приеме платежей непосредственно на сайте торговой компании.

"В качестве основных преимуществ сертификации PCI DSS можно назвать: гибкое управление процессом оплаты, включая рекуррентные платежи, не зависящие от используемого банка, и оплату в один клик непосредственно на сайте компании" - Николай Суворов, директор компании PaySto.

Если же предприятие пользуется услугами интернет-эквайринга и процессинга, то сертификация PCI DSS является обязательной для компаний, оказывающих такие услуги.

"Сертификат PCI DSS необходим для безопасной обработки и хранения банковских данных конечного пользователя. Если у клиента отсутствует данный сертификат, мы осуществляем обработку и хранение данных самостоятельно и все трудности берем на себя. Являясь обладателем сертификата PCI DSS, мы предоставляем своим клиентам безопасный и надежный способ проведения карточных платежей без необходимости проходить сложный процесс сертификации PCI DSS самостоятельно" - Никита Мищенко, директор отдела по развитию продуктов ECommPay.