Сертификация PCI DSS для виртуальных платёжных карт

Сертификация PCI DSS для виртуальных платёжных карт

Также читайте статью “Сертификат PCI DSS”


За последние несколько лет приобрела популярность технология выпуска виртуальных платёжных карт. Как правило, эти карточки предназначены для проведения оплат в сети интернет, и они не имеют физического носителя –  пластика.

Что такое виртуальная карта? Это индивидуальные данные:

  • Номер карты;
  • Срок действия карты;
  • Код авторизации СVV2.

Этих данных достаточно для того, чтобы использовать такую карту в интернете,  в мобильных  приложениях и даже в реальных магазинах, но с помощью технологий Google Pay и Apple Pay.

Виртуальные карты становятся всё популярней и популярней потому, что они предоставляют  целый ряд удобств и преимуществ:

  • Скорость получения карты;
  • Нет надобности ехать в банк для получения карты;
  • Внесение и снятие денег очень упрощено;
  • Виртуальные карты позволяют защитить основной банковский счёт от мошенников, которые могут украсть данные в интернете;
  • На виртуальных картах установлен очень низкий лимит по размеру операций и у них очень небольшой срок жизни – от нескольких месяцев до года.

Во всём мире набирает популярность новый формат розничного банкинга – онлайн-банкинг. Это банки, которые не имеют отделений, предоставляют доступ клиентам к своим услугам только через интернет и выпускают преимущественно виртуальные карты. Пример в Украине – это Monobank.

Большие, системные, имеющие огромную сеть отделений, банки также развивают свой портфель приложений по использованию виртуальных карт.

Виртуальные платёжные карты становятся все популярнее.

Во время такого стремительного развития новых технологий у представителей банков и их клиентов возникает вопрос: какие требования стандарта PCI DSS необходимо выполнять, чтобы пользование виртуальными картами было безопасным?

 


Также читайте статью “Сертификат PCI DSS для турфирм”


 

При построении бизнес-процесса по выпуску, передаче и уничтожению виртуальных карт, прежде всего, необходимо позаботиться о защите данных от утечки или кражи.

Для этого необходимо выполнить несколько условий:

  • Номер карты при хранении в банковских системах и мобильных приложениях должен быть зашифрован;
  • При отображении номера карты на экранах клиента, кассира, операторов банка, а также при печати на чеках и квитанциях, его необходимо маскировать. Это значит, что символы номеров с 7-го по 12-й должны быть заменены звёздочками, крестиками или другими знаками, скрывающими настоящий номер;
  • Проверочный код СVV2 запрещено хранить в каких-либо банковских системах или приложениях. После создания кода СVV2, обычно это происходит в момент выпуска карты, его нужно передать клиенту. После этого информация о СVV2 из систем банка должна быть удалена. Клиент сам должен позаботиться о надёжном хранении или запоминании этого номера;
  • Для обмена данными карт между банком, клиентом и торговцем должны использоваться только шифрованные соединения. Например, запрещается отправлять номер карты или СVV2 через SMS.

Это основные требования, которые касаются виртуальных карт и защищают от утечки или кражи данных. Важно помнить, что даже выполнение всех требований не даёт 100% гарантии безопасности.

PCI DSS – это комплексный стандарт безопасности.  Кроме требований к технологиям обработки, передачи и хранения данных, он выдвигает требования к бизнес-процессам банка, а также подбору и обучению персонала. Стандарт уделяет особое внимание внедрению корпоративных правил, политик и процедур. Требований достаточно много, и для разного сектора и масштаба  бизнеса они разные.

Самый простой и безопасный путь для всех, кто планирует использовать виртуальные платёжные карты – обратиться за консультацией к экспертам в сфере сертификации по стандарту PCI DSS. Быстрая и информативная консультация даст ответы на все вопросы и станет базой для составления плана действий.

Компания «IT Специалист» проводит для своих клиентов бесплатное обучение по всем требованиям стандарта PCI DSS и помогает выполнить все требования для успешной сертификации по данному стандарту.

 


Также читайте статью “Сертификация PCI DSS в Украине”


ХОТИТЕ ЗАКАТЬ СЕРТИФИКАЦИЮ?

Узнайте как или задайте интересующий Вас вопрос нашим экспертам