25.05.2021
Банкам и процессинговым центрам необходимо проходить сертификацию по стандарту PCI DSS. Зачем это нужно? Давайте подробно рассмотрим эту тему.
Что такое банк, знает, наверно, каждый человек.
Банк – это организация, деятельность которой связана с привлечением и размещением денежных средств. Также деятельность банка сконцентрирована на всевозможных расчётах и операциях с деньгами и ценными бумагами.
Что такое процессинговые центры, знают далеко не все люди, поэтому давайте остановимся на этом более подробно.
Процессинговые центры – это организации, бизнес которых сконцентрирован на обработке платежей. По своей сути, процессинговый центр – это современная, автоматизированная система обработки платежей с использованием банковских карт.
Процессинговые центры можно разделить на две категории. Первая – это независимые процессинговые центры. И вторая – это процессинговые центры, которые являются подразделениями крупных банков.
Какая общая черта у банков и процессинговых центров?
Банки и процессинговые центры напрямую подключены к международным платёжным системам (таким как Visa, MasterCard, American Express).
Естественно, что у международных платёжных систем есть свои строгие правила и требования. Банки и процессинговые центры обязаны выполнять эти правила и требования. Стоит отдельно отметить, что банки и процессинговые центры несут ответственность за выполнение всех требований международных платёжных систем.
Для того, чтобы гарантировать безопасность сохранности средств своих клиентов, лидеры рынка платежных систем, например, Visa и MasterCard, выдвигают банкам и процессинговым центрам обязательное условие – соответствовать стандарту PCI DSS.
Будет не лишним вспомнить, что такое стандарт PCI DSS.
Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт. Он разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами, такими как: Visa, MasterCard, American Express, JCB и Discover.
Стандарт PCI DSS – это совокупность требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в банках, процессинговых центрах и других коммерческих структурах.
Фактически, банки и процессинговые центры не могут работать без соответствия требованиям стандарта PCI DSS.
Давайте рассмотрим жизнь обычного человека и то, как он производит расчёт за простейший товар.
Молодой человек идёт утром на работу, по пути заходит в любимое кафе и покупает кофе. Вместо наличных денег он достаёт из своего бумажника кусочек пластика – банковскую платёжную карточку. На этой карточке есть его имя, фамилия, магнитная полоса, чип и дата окончания срока действия карточки.
Молодой человек получил пластиковую платёжную карточку в банке. Банк, который выпустил карточку называются – эмитент.
Бармен приготовил ароматный кофе. Так как расчёт будет производиться банковской карточкой, бармен должен предоставить РОS-терминал (устройство для приёма расчётов с помощью пластиковых карточек).
При этом нужно понимать, что на самой карточке денег нет – это не кошелёк. Банковская карточка – это всего лишь ключ к банковскому счёту этого молодого человека.
Задача POS-терминала – проверить то, что карточка молодого человека действительна. После этой проверки POS-терминал отправляет информацию о том, что произошла транзакция с использованием данной карточки. Информация попадает в банк-эквайер. Это банк, где обслуживается данное кафе.
Эта операция называется авторизация платежа. И для того, чтобы она завершилась успешно, банк-эквайер должен связаться с банком-эмитентом для подтверждения того, что счёт существует и на нём есть деньги для оплаты. Сложное взаимодействие при простой покупке кофе. Всё это взаимодействие должно пройти за считанные секунды.
В мире тысячи банков – эмитентов и эквайеров. Карточка, с помощью которой клиент рассчитывается за бутылку воды в Ницце, может быть выпущена где-нибудь в Австралии.
Для того, чтобы банки могли связаться между собой и существуют такие платёжные системы, как Visa, MasterCard, American Express и прочие. Они и являются центрами обмена данными между банками.
Авторизация прошла успешно, молодой человек получил чек, взял свой кофе и пошёл в офис. Скорее всего, он думает, что с его счёта уже списаны деньги за кофе, но это не совсем так.
На самом деле деньги ещё не списываются с клиентского счёта и не передаются продавцу. В момент авторизации банк-эмитент лишь блокирует необходимую сумму, а банк-эквайер получает гарантию того, что эти деньги будут перечислены.
Движение денег начнётся гораздо позже. Как правило, в конце рабочего дня начинается фаза settlement, что в переводе означает размещение или расселение. В данном случае – расселение денег.
Суть этой операции заключается в том, что банки-эквайеры и банки-эмитенты обмениваются платежами за какой-то определённый период времени. Обычно такой период – это один день. Фактически происходит взаиморасчет между банками.
Последний этап – это клиринг. Он завершает платёж. В результате банки обмениваются подтверждающими электронными документами. Они содержат в себе перечень завершённых транзакций за несколько дней. При этом фактически деньги списываются со счёта клиента и поступают на счёт продавца.
Теперь представьте себе, что каждый человек, имеющий в своём кошельке несколько платёжных карточек, генерирует несколько таких операций в течение дня.
Огромное количество платежей с помощью банковских карточек создают потоки обменов данными между банками покупателей и банками продавцов. Обмен этими данными и есть процессинг.
Многие банки создают свой собственный процессинг, что требует времени и солидного финансирования. А другие банки выбирают более простой путь – подключаться к внешнему независимому процессинговому центру, существующему на рынке.
Очевидно, что безопасность карточных данных крайне важна для процессингового центра. Взлом процессингового центра может привести к огромным финансовым потерям и снижению общего доверия к карточным платежам.
Поэтому требования стандарта PCI DSS должны обязательно выполняться как банками, так и процессинговыми центрами!
Среди руководителей банков существует ошибочное мнение, что качественный аудит и сертификацию по стандарту PCI DSS невозможно пройти в Украине. Поэтому они ищут партнёров за рубежом, но очень часто сталкиваются с проблемами, которые проявляют себя в виде того, что процедура сертификации занимает намного больше времени и, как следствие, ее стоимость возрастает. Кроме этого, возникает множество неудобств для всего персонала банка.
Наша компания IT Специалист предлагает полный комплекс услуг, связанных с сертификацией по стандарту PCI DSS именно в Украине.
Наши лучшие специалисты в сфере сертификации PCI DSS всегда рядом. В любой момент времени вы можете приехать в офис в центре Киева и получить ответы на все вопросы, касающиеся сертификации PCI DSS в Украине, учитывая особенности украинского способа ведения бизнеса и менталитета.
Также вы можете пригласить наших специалистов в свой офис для обсуждения всех процедур, необходимых для прохождения сертификации по стандарту PCI DSS в Украине.
Для процессинговых центров и банков требования стандарта PCI DSS наиболее обширны и строги.
Требования предполагают такие меры безопасности, как:
● Надёжное шифрование всех данных при хранении и передаче.
● Защита помещений, в которых находится обрабатывающее оборудование, серверы и т.д. от физического и сетевого проникновения.
● Тщательный подбор персонала, обучение и аттестация.
● Разработка системы правил, положений, процедур, инструкций для штатных и нештатных ситуаций.
Это далеко не полный список!
Молодой человек с кофе появился не случайно в этой статье. Мы хотели продемонстрировать, как много всевозможных инструментов и процессов задействовано при обычной покупке утреннего кофе.
Практически в каждой статье мы доносим до читателя одну и ту же мысль – электронные деньги становятся все популярнее и популярнее. Они постепенно вытесняют наличные деньги.
Процесс расчётов электронными деньгами требует особой и постоянной безопасности. Гарантировать такую безопасность могут только те организации, которые отвечают всем требованиям стандарта PCI DSS.
Наша компания на протяжении многих лет оказывает услуги по подготовке к сертификации по стандарту PCI DSS крупным банкам и процессинговым центрам. Мы проводим консультирование по всем вопросам, связанным с безопасностью данных платёжных карт.
Наши клиенты получают сертификат PCI DSS и комплект документов, подтверждающий выполнение всех требований данного стандарта.
Приглашаем банки и процессинговые центры пройти сертификацию по стандарту PCI DSS в Украине, в городе Киев.
Авторы статьи:Александр Куберский, Мария Осадчая.Компания ІТ Специалист