Pci dss сьогодні: думка експерта

В даний час з метою захисту власних даних і мінімізації ризику їх втрати багато організацій вимагають від своїх ділових партнерів дотримання вимог передбачених Payment Card Industry Data Security Standard (PCI DSS - тут докладніше) - стандартом безпеки даних індустрії платіжних карт.

У зв`язку з цим один з експертів в області IVR - директор британської консалтингової компанії Encoded Роберт Кратчінгтон дав деякі пояснення, що характеризують логічність і доцільність такого роду вимог.

Як відомо, коли Visa, MasterCard, JBC, Discover і American Express створювали стандарт PCI DSS, вони сформулювали 12 деталізованих вимог щодо забезпечення безпеки даних про власників платіжних карт, які передаються, зберігаються і обробляються в інформаційних інфраструктурах організацій. Однак, як стверджує Кратчінгтон, сьогодні керівники багатьох компаній не розуміють, що все їх сторонні партнери і вендори, які мають відношення до обробці даних платіжних карт також повинні дотримуватися всіх вимог PCI DSS.

Платіжні системи створюють власні списки сторонніх вендорів, які в своїй роботі вже досягли певного рівня гарантій захисту даних і демонструють прийнятну бізнес-практику. Як приклад Кратчінгтон наводить той факт, що Visa і більшість великих платіжних провайдерів, таких як британський Elavon, рекомендують своїм клієнтам користуватися послугами тільки тих компаній, які входять до згаданих списків і мають статус «PCI Compliance».

Це, своєю чергою, стосується будь-якої компанії, яка причетна до операцій з платіжними картами, системах автоматичного банківського обслуговування по телефону (IVR), Internet Payment Gateway, а також інших сервісів і продуктів, тобто прямо або побічно задіяна в передачі даних. Таким чином, вважає британський експерт, компанії, що працюють з кінцевими клієнтами просто зобов`язані розуміти не тільки всю суть процесу, а й те, хто з його учасників повинен відповідати вимогам PCI DSS, або, в іншому випадку, зіткнутися з перспективою постійних судових розглядів і штрафних санкцій в разі втрати даних про карти своїх клієнтів.

Платіжних провайдерів, що надають послуги торговим організаціям, Visa розподіляє за двома рівнями, для кожного з яких передбачена своя процедура атестації. Для більш високого Level 1 необхідно Свідоцтво про відповідність (Attestation of Compliance). Нагадаємо, Level 1 - це організації, які передають, зберігають і обробляють понад 300000 транзакцій Visa в рік. Кратчінгтон також зазначив, що Свідоцтво про відповідність і Звіт про відповідність (Compliance report) в обов`язковому порядку необхідно доповнювати також QSA-аудитом. Втім, за словами експерта, високі стандарти і вартість послуг QSA-аудиторів нерідко призводять до того, що деякі вендори претендують на сертифікат PCI DSS, практично не завершивши процес сертифікації.