Безопасность платежей. Часть 1: Стандарт PCI DSS

Любая отрасль в своем развитии проходит путь от свободы творчества к той или иной форме регулирования, осуществляемого государством или негосударственными организациями. Целью регулирования обычно становится защита интересов, находящихся в противоречии с извлечением прибыли, и по этой причине не являющихся предметом заботы со стороны бизнеса.

Не является исключением и платежная индустрия. Интерес бизнеса заключается в максимально быстром и комфортном осуществлении покупателями платежей в пользу торгово-сервисных предприятий и предложении всем участникам рынка сопутствующих услуг. К сожалению, удобная оплата в один клик на сайте магазина может обернуться неприятными последствиями для держателя банковской карты, если кто-то из участников платежной цепочки — магазин, банк или процессинговый центр не предприняли необходимых мер безопасности при обработке данных. Безопасность денег на картах клиентов хоть и является для бизнеса вопросом репутации, но прямой выгоды, скажем честно, не несет. Вот и вступают в игру государственные регуляторы и международные сообщества, устанавливающие требования к защите. Если ранее термин «безналичный платеж» в основном ассоциировался только с банками и квитанциями, то популяризация кредитных карт, розничных безналичных расчетов и электронных денег вовлекло в платежную индустрию малый бизнес, в основном представленный предприятиями электронной коммерции и платежными агентами.

За прошедшие несколько лет появился целый ряд нормативных документов по безопасности платежей, и судя по активности регуляторов — появятся еще. В настоящее время в России наиболее актуальными являются международные стандартыPCI DSS и PA-DSS, а также Федеральный Закон № 161-ФЗ «О национальной платежной системе» и сопутствующие ему подзаконные акты в области безопасности. Именно с ними в основном приходится сталкиваться российским компаниям, решившим связать свой бизнес с безналичными платежами. Рассмотрим их по порядку.

Стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) пришел к нам с Запада и исторически стал первым популярным набором требований к обеспечению безопасности платежей. Стандарт разработан сообществом международных платежных систем Visa, MasterCard, American Express, JCB и Discover, создавшим для его развития регулирующий орган — Совет PCI SSC.

Объектом применения этого стандарта является каждая организация, хранящая, обрабатывающая или передающая в своих информационных системах номера платежных карт, выпущенных под брендом любой из вышеуказанных международных платежных систем. То есть его требования распространяются на обычные и Интернет-магазины, банки, платежные шлюзы, процессинговые центры и прочие сопутствующие структуры. Все организации, так или иначе вовлеченные в процесс обработки платежной транзакции, согласно идеологии регулятора делятся на две категории — торгово-сервисные предприятия (merchants) и поставщики услуг (service providers). К первым относятся все, кто продает товары или услуги и принимает в оплату от покупателей банковские карты — магазины, рестораны, отели, автозаправочные станции, парковки. Ко вторым — все те, кто обеспечивает процесс оплаты — банки, платежные шлюзы, сами международные платежные системы, хостинг-провайдеры, и прочие.

Стандарт PCI DSS содержит перечень достаточно конкретных технических и организационных требований к обеспечению информационной безопасности карточных данных, разделенных на 12 разделов. Требования организованы по принципу контрольной карты, по которой можно перемещаться от одного требования к другому и ставить галочки: «выполнено» или «не выполнено». Такой подход имеет свои недостатки, профессионалы в информационной безопасности периодически ругают стандарт за негибкость и отсутствие риск-ориентированного подхода. Однако, в оправдание PCI DSS стоит сказать, что стандарт разработан для массового внедрения торгово-сервисными предприятиями, в штате которых редко присутствуют специалисты по защите информации, способные профессионально управлять рисками в стиле ISO 27001.

Требования стандарта сфокусированы на обеспечении безопасности информационной инфраструктуры на всех уровнях. В защищенных помещениях размещаются корректно настроенные сетевые устройства и серверы, используемые безопасно разработанными приложениями и базами данных. Актуальность защиты обеспечивается непрерывным мониторингом и регулярным аудитом. Обученный персонал администрирует информационные системы в соответствии с установленными процедурами. Примерно так выглядит на практике информационная безопасность с точки зрения международных платежных систем.

Подтверждать соответствие стандарту PCI DSS организации необходимо ежегодно, при этом способов подтверждения существует несколько. Это заполнение листа самооценки SAQ, выполнение внутреннего ISA-аудита и прохождение внешнего QSA-аудита. Какой способ выбрать? Ответ на этот вопрос не так очевиден, как может показаться на первый взгляд. Для начала следует вспомнить, к какому из двух основных типов относится организация — торгово-сервисное предприятие или поставщик услуг.

Если речь идет о поставщике услуг, то нужно вспомнить цифру 300 000. Это граница между первым и вторым уровнем (Level 1 и Level2), установленная как Visa, так и MasterCard для поставщиков услуг. Если ежегодное количество транзакций или общее количество хранимых в базе данных номеров карт превышает границу в 300 000, то это первый уровень, и надо звать аудиторскую компанию, обладающую статусом PCI QSAдля прохождения внешнего QSA-аудита. Если количество транзакций меньше-то достаточно заполнить лист самооценки SAQ типа D и предоставить обслуживающему банку-эквайеру. Про типы листов самооценки мы поговорим позже.

Если организация является торгово-сервисным предприятием, то для неё существует целых четыре уровня. Но для простоты опять же надо помнить всего лишь одну цифру — один миллион. Если магазин обрабатывает более одного миллиона транзакций в год-то он относится к первому или второму уровню и должен ежегодно проходить внешний QSA- или внутренний ISA-аудит. Если годовое суммарное количество транзакций меньше одного миллиона, то это третий или четвертый уровень, для них будет достаточно заполнить лист самооценки SAQ, тип которого выбирается исходя из способа обработки карт. Определяющим критерием здесь является хранение номеров карт в информационных системах магазина. Если магазин хранит карточные данные, то это SAQ D. Если только передает через свои системы и не хранит — SAQ C. Если передает поставщику услуг исключительно по телефонной линии — SAQ B. Ну, а если торгово-сервисное предприятие полностью отдало обработку карточных данных на аутсорсинг сертифицированному поставщику услуг и не принимает участия даже в их передаче, то тогда к нему применим самый маленький по размеру лист самооценки SAQ A. Сводная таблица вариантов подтверждения соответствия приведена ниже.

Нужно помнить, что определения уровней торгово-сервисных предприятий и поставщиков услуг даны международными платежными системами только для общего ориентирования. Самое главное правило заключается в том, что за соблюдение поставщиком услуг или магазином требований PCI DSS ответственность в первую очередь несет его обслуживающий банк-эквайер, и только банк-эквайер вправе однозначно определить для организации способ подтверждения соответствия.

(продолжение следует)

Таблица. Варианты подтверждения соответствия PCI DSS

Вариант Применимость Количество проверочных процедур
SAQ A Торгово-сервисные предприятия, выполняющие транзакции средствами электронной коммерции, отдавшие все функции по электронной обработке, хранению и передаче карточных данных поставщику услуг, подтвердившему соответствие PCI DSS. 13
SAQ B Торгово-сервисные предприятия, применяющие POS-терминалы, использующие телефонную линию, не передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных. 29
SAQ C Торгово-сервисные предприятия, использующие POS-терминалы или платежные приложения, передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных. 40
SAQ C-VT Торгово-сервисные предприятия, использующие через Интернет виртуальные веб-терминалы от поставщика услуг, подтвердившего соответствие PCI DSS, и не имеющие электронных хранилищ карточных данных. 51
SAQ D Все торгово-сервисные предприятия и все поставщики услуг, кроме тех, кому согласно требованиям платежной системы или банка-эквайера необходим ISA- или QSA-аудит. 288
ISA-аудит Все торгово-сервисные предприятия, кроме тех, кому согласно требованиям платежной системы или банка-эквайера необходим QSA-аудит. 288
QSA-аудит Все торгово-сервисные предприятия и все поставщики услуг. 288