Система антифрода: все о сертификации PCI DSS и стандарте PCI compliance

Система антифрода: все о сертификации PCI DSS и стандарте PCI compliance

Безопасность финансовых операций – важнейшее требование к работе платежного провайдера. Именно поэтому мы разработали технологию Fondy Protect, это наше фирменное решение для защиты предпринимателей от мошеннических операций, а покупателей – от подозрительных продавцов или сомнительных услуг.

В данном материале мы расскажем, какие меры безопасности применяются в сфере платежных карт, что такое PCI DSS и PCI compliance и какие существуют требования для соответствия этим стандартам, зачем нужна антифрод-технология и как задействованы другие решения, которые обеспечивают высочайшую степень защиты при использовании платежных сервисов Fondy.

Узнайте, как развивать свой бизнес, в 3 сезоне проекта для предпринимателей «Гра в довгу»

Что такое PCI DSS и как его получить?

Популярность безналичных платежей в интернете растет с каждым годом, в некоторых странах их доля уже превышает 80% от общего числа выполняемых ежегодно финансовых операций. Но чем больше число транзакций, совершаемых с помощью банковских платежных карт (БПК), тем сильнее эта сфера привлекает преступников. И тем актуальнее стоит задача защиты денежных средств, находящихся на карточных счетах.

Чтобы предохранить потребителей от возможных махинаций c БПК, в 2004 году был учрежден Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, сокращенно – PCI SSC). Инициаторами его создания выступили международные платежные системы American Express, Visa, Mastercard, JCB и Discover. Силами совета был разработан документ с требованиями Payment Card Industry Data Security Standard (PCI DSS), стандарт безопасности индустрии платежных карт, его обязательно должны соблюдать любые организации, чья деятельность связана с карточными платежами. Если кратко, то PCI DSS – перечень требований и правил по защите данных о держателях БПК, обрабатываемых или хранимых в их информационных системах.

В конце 2004 года была презентована первая версия стандарта, сейчас актуальна версия PCI DSS 3.2.1, которую совет принял в мае 2018 года.

Стандарт выдвигает 12 подробно выписанных требований к тем организациям, которые имеют дело с данными БПК: банкам, торговым предприятиям, финансовым операторам, платежным шлюзам, таким как Fondy. То есть если вы хотите совершать операции с платежными картами, то должны выполнять указанные в PCI DSS требования.

Ниже представлены главные пункты PCI DSS по обеспечению безопасности информационных структур:

  1. Защита сетевой инфраструктуры с помощью межсетевого экрана
  2. Правильная конфигурация доступа в систему по паролям
  3. Защита конфиденциальных данных (номера карт и прочие данные), хранимых в системе, с помощью различных криптографических методов: шифрации, маскирования, хеширования, усечения
  4. Надежное шифрование всей конфиденциальной информации при использовании открытых каналов передачи
  5. Защита ІТ-систем от вредоносного кода и регулярное обновление антивирусных средств
  6. Оперативное исправление найденных в ІТ-системах уязвимостей
  7. Предоставление доступа к секретным данным только для уполномоченному персоналу
  8. Контроль доступа к критически важным системам посредством идентификации и аутентификации
  9. Физический доступ к хранилищам данных держателей карт могут получить только определенные сотрудники
  10. Контроль сеансов доступа к данным держателей карт и сетевым ресурсам
  11. Регулярная проверка систем и процессов, отвечающих за обеспечение безопасности, для своевременного нахождения новых уязвимостей
  12. Внедрение строгой политики информационной безопасности для сотрудников компании

Международные платежные системы (МПС) разрабатывают собственные требования подтверждения соответствия PCI DSS.

Что касается национальных платежных систем, то обычно они тоже требуют соответствия параметрам PCI DSS. Например, в украинской системе ПРОСТІР применяются стандарты, установленные МПС, такими как Visa и Mastercard.

Принимайте онлайн-платежи безопасно с Fondy

О чем говорит термин PCI compliance и что нужно для соответствия ему

Если бизнес-процессы в компании каким-либо образом связаны с обработкой, хранением или передачей данных БПК, ей нужно соответствовать требованиям стандарта PCI DSS. На сегодня есть 4 уровня соответствия PCI (англ. PCI compliance). В зависимости от числа выполняемых ежегодно транзакций по картам определяется уровень, по которому предприятие проходит процедуру проверки.

Наиболее сложно пройти проверку 1-го уровня – это нужно делать организациям, которые ежегодно проводят свыше 6 млн транзакций. Уровень 2 предназначен для тех бизнесов, у которых число транзакций составляет от 1 до 6 млн. Уровень 3 ограничен цифрами от 20 тысяч до 1 млн транзакций в год. 4-й уровень – наименее сложный, его могут получить организации, выполняющие не более 20 тысяч транзакций в год.

Стоит заметить, что МПС применяют штрафные санкции для тех организаций, которые обязаны ежегодно подтверждать сертификат PCI compliance, однако своевременно не делают этого. Поэтому компании, работающие с Visa и Mastercard, каждый год проходят аудиторскую проверку на соответствие PCI DSS с последующим получением сертификата.

Как проходит сертификация

Для того, чтобы проверить, насколько компания соответствует основным требованиям PCI DSS, применяются следующие методы: внешний аудит при помощи квалифицированного оценщика, самостоятельное оценивание, которое компания проводит своими силами путем заполнения специальной анкеты. Выбор метода проверки зависит от типа и размера проверяемого предприятия.

Внешний аудит могут выполнить:

  • Квалифицированный эксперт по безопасности (Qualified Security Assessor, QSA) – независимый специалист или группа специалистов, которым совет PCI SSC предоставил полномочия контролировать и подтверждать соответствие организации стандарту PCI DSS.
  • Эксперт по оценке внутренней безопасности (Internal Security Assessor, ISA) – это специалист, который владеет сертификатом от совета PCI SSC и может выполнять проверку PCI compliance для своей организации. То есть ISA может оценивать соответствие стандарту исключительно для компании, в которой он работает.

Самооценка проводится следующим образом:

  • Отчет о соответствии (Report on Compliance, ROC) – мерчанты уровня 1 Visa, подпадающие под требования PCI DSS, должны заполнить специальную форму, которая позволит подтвердить их соответствие стандарту.
  • Анкета самооценки (Self-Assessment Questionnaire, SAQ) – опросный лист, содержащий от 22 до 329 вопросов, ответом на которые мерчанты и сервис-провайдеры могут сообщить о результатах самостоятельно выполненной проверки соответствия стандарту PCI DSS.

Потребитель может быть уверен в безопасности финансовых операций, если он пользуются платежными сервисами, сертифицированными согласно правилам стандарта PCI DSS.

Fondy соответствует требованиям PCI DSS 1-го уровня. С целью подтверждения сертификата компания каждый год проходит независимый QSA-аудит, а также ASV-сканирование каждые три месяца. Это подтверждает, что сервис защищает финансовую информацию клиентов на самом высоком уровне мировой индустрии платежных карт.

Подключите защищенную платежную платформу Fondy, нас выбрали десятки тысяч бизнесов по всему миру

Что такое антифрод и какова его роль в обеспечении безопасности платежей

Антифрод (от англ. anti-fraud) – это система для борьбы с мошенничеством при выполнении различных финансовых операций. В основу ее работы заложена оценка действий пользователя, транзакций с картой и прочего с точки зрения мошенничества. Технологически антифрод включает в себя набор стандартных, фирменных правил и фильтров, каждая транзакция проходит проверку по критериям, заложенным в этом наборе.

К стандартным правилам относятся такие процессы, как ограничение числа операций по одной БПК за определенный период времени, лимит на максимальную сумму разовой покупки по одной карте и прочее. Уникальные или фирменные правила у каждой системы свои, и они хранятся в секрете, чтобы мошенник, зная суть, не придумал способ, как обмануть сервис.

Качественный антифрод-сервис способен максимально быстро и точно распознать мошенника в интернете и заблокировать операцию.

Банки, МПС, процессинговые центры и платежные шлюзы в обязательном порядке обеспечивают подобные услуги для своих клиентов.

Какие стандарты и инструменты используются для безопасности платежей в мире и в Украине

  • Mastercard SecureCode

Фирменная технология SecureCode от Mastercard проверяет, что оплату проводит именно владелец карточки. Когда последний покупает что-либо в интернете, на его мобильный номер приходит пароль в SMS. Транзакцию можно завершить только после ввода этого пароля. С технической точки зрения SecureCode аналогичен технологии 3D Secure (известной также как 3DS).

  • Visa Secure

Visa продвигает собственную технологию защиты оплат в интернете. Для подтверждения транзакции пользователя перенаправляют на защищенную страницу для ввода пароля, который знают только он и банк-эмитент. Пароль может быть как постоянным, так и одноразовым.

  • Протокол HTTPS

Использование протокола HTTPS подразумевает, что все данные, которые передаются между устройством пользователя и сайтом мерчанта, будут зашифрованы и защищены от перехвата или атак типа man-in-the-middle, то есть от искажения информации.

Какие технологии применяет Fondy для защиты платежей своих клиентов

Fondy Protect построена на ведущих мировых технологиях и стандартах в области кибербезопасности. Система содержит несколько уровней защиты, которые пресекают действия мошенников, но не препятствуют транзакциям добросовестных покупателей.

Fondy предлагает собственную продвинутую систему антифрода, которая проверяет все транзакции, проходящие через систему. Это самообучающееся решение, которое анализирует финансовые операции по более чем 300 факторам и сравнивает результаты с шаблоном поведения мошенников. Такой подход позволяет оперативно и надежно детектировать мошенничество. Мы отвечаем за безопасность платежей десятков тысяч бизнесов со всего мира, потому хорошо знаем, какие уловки используют преступники из разных стран.

Для подтверждения соответствия требованиям PCI DSS 1-го уровня Fondy нужно проходить независимый QSA-аудит раз в год и ASV-сканирование каждые три месяца.

Благодаря многоуровневой системе антифрода и строгому соответствию всех пунктов PCI DSS Level 1, Fondy защищает каждый этап платежа – от введения данных карты пользователем до поступления денег на счет мерчанта.

Кроме того, Fondy обеспечивает одинаковый уровень безопасности для любых методов оплаты, включая карты, Apple Pay и Google Pay или электронные кошельки.

Развивайте свой бизнес вместе с надежными платежными решениями Fondy

Хотите узнать больше?

Читайте другие полезные fintech-материалы от первоисточника
Валерия Вагоровская
Валерия Вагоровская

Основательница и управляющий партнер платежной платформы Fondy

КомментарииMindЛІГА