Система антифроду: все про сертифікацію PCI DSS та стандарт PCI compliance

Що таке PCI DSS та як його отримати?

Популярність безготівкових платежів в інтернеті зростає з кожним роком, у деяких країнах їхня частка вже перевищує 80% від загальної кількості фінансових операцій, що виконуються щорічно. Але що більше число транзакцій, здійснюваних з допомогою банківських платіжних карток (БПК), то сильніше ця сфера приваблює злочинців. І тим актуальніше стоїть завдання захисту коштів, що є на карткових рахунках.

Щоб убезпечити споживачів від можливих махінацій із БПК, у 2004 році було засновано Раду зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, скорочено – PCI SSC). Ініціаторами його створення виступили міжнародні платіжні системи American Express, Visa, Mastercard, JCB та Discover. Силами ради був розроблений документ із вимогами Payment Card Industry Data Security Standard (PCI DSS), стандарт безпеки індустрії платіжних карток, його обов’язково повинні дотримуватися будь-які організації, діяльність яких пов’язана з картковими платежами. Якщо коротко, то PCI DSS – перелік вимог і правил щодо захисту даних про власників БПК, що обробляються або зберігаються в їхніх інформаційних системах.

Наприкінці 2004 року була презентована перша версія стандарту, зараз актуальна версія PCI DSS 3.2.1, яку рада прийняла у травні 2018 року.

Стандарт висуває 12 докладно виписаних вимог до тих організацій, які мають справу з даними БПК: банків, торгових підприємств, фінансових операторів, платіжних шлюзів, таких як Fondy. Тобто якщо ви бажаєте здійснювати операції з платіжними картками, то повинні виконувати вказані в PCI DSS вимоги.

Нижче наведено головні пункти PCI DSS із забезпечення безпеки інформаційних структур:

1. Захист мережевої інфраструктури за допомогою міжмережевого екрану
2. Правильна конфігурація доступу до системи за паролями
3. Захист конфіденційних даних (номери карток та інші дані), що зберігаються в системі, за допомогою різних криптографічних методів: шифрації, маскування, хешування, усічення
4. Надійне шифрування всієї конфіденційної інформації під час використання відкритих каналів передачі
5. Захист ІТ-систем від шкідливого коду та регулярне оновлення антивірусних засобів
6. Оперативне виправлення знайдених у ІТ-системах вразливостей
7. Надання доступу до секретних даних лише уповноваженому персоналу
8. Контроль доступу до критично важливих систем за допомогою ідентифікації та аутентифікації
9. Фізичний доступ до сховищ даних власників карток можуть отримати тільки певні співробітники
10. Контроль сеансів доступу до даних власників карток та мережевих ресурсів
11. Регулярна перевірка систем і процесів, що відповідають за безпеку, для своєчасного знаходження нових вразливостей
12. Впровадження суворої політики інформаційної безпеки для працівників компанії

Міжнародні платіжні системи (МПС) розробляють власні вимоги до підтвердження відповідності PCI DSS.

Що ж до національних платіжних систем, зазвичай вони також вимагають відповідності параметрам PCI DSS. Наприклад, в українській системі ПРОСТІР застосовуються стандарти, встановлені МПС, такими як Visa та Mastercard.

Про що говорить термін PCI compliance та що потрібно для відповідності йому

Якщо бізнес-процеси компанії пов’язані з обробкою, зберіганням або передачею даних БПК, їй потрібно відповідати вимогам стандарту PCI DSS. На сьогодні є 4 рівні відповідності PCI (англ. PCI compliance). Залежно від кількості виконуваних щорічно транзакцій за картками визначається рівень, за яким підприємство проходить процедуру перевірки.

Найбільш складно пройти перевірку 1-го рівня – це потрібно робити організаціям, які щороку проводять понад 6 млн транзакцій. Рівень 2 призначений для тих бізнесів, які мають кількість транзакцій від 1 до 6 млн. Рівень 3 обмежений цифрами від 20 тисяч до 1 млн транзакцій на рік. 4-й рівень – найменш складний, його можуть отримати організації, які виконують не більш ніж 20 тисяч транзакцій на рік.

Варто зауважити, що МПС застосовують штрафні санкції для тих організацій, які зобов’язані щороку підтверджувати сертифікат PCI compliance, проте вчасно цього не роблять. Тому компанії, що працюють із Visa та Mastercard, щороку проходять аудиторську перевірку на відповідність PCI DSS з подальшим отриманням сертифікату.

Як відбувається сертифікація

Щоб перевірити, наскільки компанія відповідає основним вимогам PCI DSS, застосовуються такі методи: зовнішній аудит за допомогою кваліфікованого оцінювача, самостійне оцінювання, яке компанія проводить власними силами шляхом заповнення спеціальної анкети. Вибір методу перевірки залежить від типу та розміру підприємства, що перевіряється.

Зовнішній аудит можуть виконати:

• Кваліфікований експерт із безпеки (Qualified Security Assessor, QSA) – незалежний спеціаліст або група фахівців, яким рада PCI SSC надала повноваження контролювати та підтверджувати відповідність організації стандарту PCI DSS.
• Експерт з оцінки внутрішньої безпеки (Internal Security Assessor, ISA) – це спеціаліст, який має сертифікат від ради PCI SSC і може перевірити PCI compliance для своєї організації. Тобто ISA може оцінювати відповідність стандарту виключно для компанії, де він працює.

Самооцінка проводиться так:

• Звіт про відповідність (Report on Compliance, ROC) – мерчанти рівня 1 Visa, які відповідають вимогам PCI DSS, повинні заповнити спеціальну форму, яка дасть можливість підтвердити їхню відповідність стандарту.
• Анкета самооцінки (Self-Assessment Questionnaire, SAQ) – опитувальний лист, що містить від 22 до 329 запитань, відповіддю на які мерчанти та сервіс-провайдери можуть повідомити про результати самостійно виконаної перевірки відповідності стандарту PCI DSS.

Споживач може бути впевненим у безпеці фінансових операцій, якщо він користується платіжними сервісами, сертифікованими згідно з правилами стандарту PCI DSS.

Fondy відповідає вимогам PCI DSS 1-го рівня. З метою підтвердження сертифікату компанія щороку проходить незалежний QSA-аудит, а також ASV-сканування кожні три місяці. Це підтверджує, що сервіс захищає фінансову інформацію клієнтів на найвищому рівні у світовій індустрії платіжних карток.

Що таке антифрод і яка його роль у забезпеченні безпеки платежів

Антифрод (від англ. anti-fraud) – це система боротьби з шахрайством при виконанні різних фінансових операцій. В основу її роботи закладено оцінку дій користувача, транзакцій із карткою та іншого з огляду на шахрайство. Технологічно антифрод включає набір стандартних, фірмових правил і фільтрів, кожна транзакція проходить перевірку за критеріями, закладеними в цьому наборі.

До стандартних правил належать такі процеси, як обмеження кількості операцій по одній БПК за певний період часу, ліміт на максимальну суму разової покупки по одній картці та інше. Унікальні або фірмові правила у кожної системи свої і вони зберігаються в секреті, щоб шахрай, знаючи суть, не вигадав спосіб, як обдурити сервіс.

Якісний антифрод-сервіс здатний максимально швидко та точно розпізнати шахрая в інтернеті та заблокувати операцію.

Банки, МПС, процесингові центри та платіжні шлюзи обов’язково забезпечують подібні послуги для своїх клієнтів.

Які стандарти та інструменти використовуються для безпеки платежів у світі та в Україні

• Mastercard SecureCode

Фірмова технологія SecureCode від Mastercard перевіряє, що оплату здійснює саме власник картки. Коли останній купує щось в інтернеті, на його мобільний номер надходить пароль у SMS. Транзакцію можна завершити лише після введення цього пароля. З технічного погляду SecureCode аналогічний технології 3D Secure (відомої також як 3DS).

• Visa Secure

Visa просуває свою технологію захисту оплат в інтернеті. Для підтвердження транзакції користувача перенаправляють на захищену сторінку для введення пароля, який знає лише він та банк-емітент. Пароль може бути як незмінним, так і одноразовим.

• Протокол HTTPS

Використання протоколу HTTPS передбачає, що всі дані, які передаються між пристроєм користувача та сайтом мерчанта, будуть зашифровані та захищені від перехоплення або атак типу man-in-the-middle, тобто від спотворення інформації.

Які технології застосовує Fondy для захисту платежів своїх клієнтів

Fondy Protect побудована на провідних світових технологіях і стандартах у галузі кібербезпеки. Система містить кілька рівнів захисту, які припиняють дії шахраїв, але не заважають транзакціям сумлінних покупців.

Fondy пропонує власну просунуту систему антифроду, яка перевіряє всі транзакції, що проходять через систему. Це самонавчальне рішення, яке аналізує фінансові операції за більш ніж 300 факторами та порівнює результати з шаблоном поведінки шахраїв. Такий підхід дає змогу оперативно та надійно детектувати шахрайство. Ми відповідаємо за безпеку платежів десятків тисяч бізнесів з усього світу, тому добре знаємо, які хитрощі використовують злочинці з різних країн.

Для підтвердження відповідності вимогам PCI DSS 1-го рівня Fondy потрібно проходити незалежний QSA-аудит щорічно та ASV-сканування кожні три місяці.

Завдяки багаторівневій системі антифроду та суворій відповідності всіх пунктів PCI DSS Level 1, Fondy захищає кожен етап платежу – від введення даних картки користувачем до надходження грошей на рахунок мерчанта.

Крім того, Fondy забезпечує однаковий рівень безпеки для будь-яких методів оплати, включаючи картки, Apple Pay та Google Pay чи електронні гаманці.