Вопрос секьюрности для участников платежного рынка является основополагающим. И в этом направлении ключевую роль играет стандарт безопасности данных PCI DSS. 12 требований, разработанных международными платежными системами Mastercard, Visa, American Express, JCB и Discover - основа работы банков, процессинговых центров и других структур, связанных с хранением обработкой и передачей данных о держателях карт. Установленные правила обеспечивают безопасность платежных данных и включают большинство лучших мировых практик по поддержанию должного уровня безопасности. Как масштабному украинскому платежному сервис-провайдеру, нам без него никак. Сегодня я расскажу, насколько сложно его получить и почему его уровень говорит об уровне вашей компании больше, чем вы думаете.

PCI DSS для банков и процессинговых центров

Mastercard, Visa, American Express и т.д. устанавливают свои строгие правила работы для обеспечения безопасности платежей. Банки и процессинговые центры напрямую подключены к международным платежным системам и обязаны выполнять все установленные ими требования. PCI DSS и есть одним из них. Без соответствия стандарту ни банки, ни процессинговые центры работать не смогут. И это очевидно, ведь утечка данных может привести к снижению доверия ко всей сфере и колоссальным финансовым потерям. Именно поэтому требования к получению PCI DSS максимально строгие. С ростом индустрии во всем мире, вопрос безопасности становится все более актуальным. Следовательно, и версии стандарта постоянно обновляют, добавляя необходимые требования или избавляясь от лишнего. Так, например, версия 3.2.1 - усовершенствованный вариант версии 3.2. Он не несет исключительно новых требований или изменений.

Кому еще важно соответствовать стандарту?

Помимо банков и процессинговых компаний соответствовать требованиям стандарта необходимо всем компаниям, которые каким-либо образом влияют на безопасность данных платежных карт. Так, например, это касается игровых сервисов. Ни для кого не секрет, что игровая индустрия развивается невероятными темпами, генерируя миллиарды долларов прибыли. Сегодня игры охватывают множество функций, включая покупку виртуальной валюты или внутриигровых предметов в игре за реальные деньги. Соответственно, все игровые маркетплейсы, которые хранят данные карт для оплаты в один клик, имеют этот сертификат. Сюда также относятся дата-центры, хотя они напрямую никак не связаны с обработкой данных платежных карт. Но их клиенты могут быть непосредственными участниками платежного рынка, которые, в свою очередь, будут выбирать надежных партнеров. Крупнейшие центры обработки данных имеют сертификаты PCI DSS.

Какие бывают уровни PCI DSS?

В зависимости от количества обрабатываемых транзакций в год участников платежного рынка разделяют на уровни согласно классификациям Visa и MasterCard. Соответственно и требования к участникам разных уровней отличаются.

Сертификация PCI DSS определяет 4 уровня торгово-сервисных предприятий (мерчаты) и 2 уровня поставщиков услуг (платежные системы, дата-центры, хостинг-провайдеры и тд). В зависимости от типа организации и классификации по количеству транзакций соответствие стандарту PCI DSS подтверждается различными способами аудита:

Аудит QSA (Qualified Security Assessor) проводится с помощью внешней аудиторской организацией, которая сертифицирована Советом PCI SSС. Аудит ISA (Internal Security Assessor) с помощью штатного специалиста компании, который прошел специальное обучение и имеет сертификат аудитора Совета PCI SSC. Аудит SAQ (Self Assessment Questionnaire) может быть выполнен штатными специалистами на основе заполнения листа самооценки.

Уровни торгово-сервисных предприятий:

Уровень 1 подходит торгово-сервисным предприятиям, которые обрабатывают более 6 млн транзакций в год или сохранность чьих данных была раньше поставлена под сомнение. Таким компаниям необходимо ежеквартальное внешнее сканирование уязвимостей компонентов информационной инфраструктуры ASV и ежегодный внешний аудит QSA или внутренний аудит ISA.

Уровень 2 предусмотрен для ТСП, которые обрабатывают от 1 до 6 млн транзакций в год. Для таких компаний необходимо ежеквартальное ASV-сканирование, а также ежегодное проведение самооценки безопасности SAQ (по требованиям Visa) или ежегодный внешний аудит QSA или внутренний аудит ISA (по требованиям MasterCard).

Уровень 3 рассчитан для торгово-сервисных предприятий, ежегодно обрабатывающих 20 тыс - 1 млн транзакций в области электронной торговли. Им необходимо ежеквартальное ASV-сканирование и проведение самооценки SAQ каждый год.

Уровень 4 подходит ТСП, которые обрабатывают менее 20 тыс транзакций в год в области электронной торговли или все остальные ТСП. Для них обязательно ежеквартальное ASV-сканирование и самооценка SAQ ежегодно.

Уровни поставщиков услуг:

В данном случае определение поставщика услуг и требования к нему не зависят от конкретной платежной системы.

Уровень 1 относится ко всем процессинговым центрам и поставщикам услуг, которые обрабатывают, хранят или передают данные о более 300 тыс транзакций в год. Таким компаниям нужно проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV и ежегодный QSA-аудит.

Уровень 2 создан для поставщиков услуг, которые обрабатывают, хранят или передают данные о менее 300 тыс транзакций в год. Им необходимо ежеквартальное ASV-сканирование и ежегодное проведение самооценки безопасности SAQ.


What is PCI DSS and why this certificate says a lot about you as a payment market participant

The security issue is fundamental for the payment market participants. And PCI DSS Data Security Standard plays a crucial role here. 12 high-level requirements developed by international payment systems Mastercard, Visa, American Express, JCB and Discover are the basis for the work of banks, processing centers and other companies related to the storage, processing and transmission of cardholder data. The established rules ensure the payment data security and include most of the world's best practices for maintaining an appropriate security level. As a big Ukrainian payment service provider, we certainly need it. Today I want to discuss PCI DSS implementation complexity and why its level tells of the company level more than you think.

PCI DSS for banks and processing centers

Mastercard, Visa, American Express, etc. lay down their own strict operating rules to ensure the security of payments. Banks and processing centers are directly connected to international payment systems and must comply with all the requirements established by them. PCI DSS is one of them. Neither banks nor processing centers are able to work without the standard compliance. And this is obvious, because a data leak can lead to a trust decrease in the entire industry and appalling financial losses. That is why the PCI DSS requirements compliance is that important and bounden. With the growth of the industry globally, the security issue is becoming more and more urgent. Consequently, the versions of the standard are constantly updated, with the necessary requirements added or unnecessary ones taken out. For example, version 3.2.1 is an improved version of 3.2. It doesn’t include exclusively new requirements or changes.

Who else is required to meet the standard?

In addition to banks and processing companies, all companies that somehow affect the security of cardholder data need to comply with the requirements of the standard. That regards, for example, the gaming services. It's no secret that the gaming industry is growing incredibly fast, generating billions of dollars. Nowadays there are a variety of functions in games, including purchasing virtual currency or in-game items for real money. Accordingly, all video game digital distribution services that store cardholder data for one-click payments have this certificate. This also regards data centers, although they aren’t directly related to the processing of cardholder data. But their clients can be direct payment market participants, who, in turn, will cooperate with reliable partners. The largest data centers are PCI DSS certified.

PCI DSS levels

Depending on the number of transactions processed per year payment market participants are divided into merchant and service provider levels according to the criteria set by Visa and Mastercard. Accordingly, the requirements for participants at different levels are also different. PCI DSS certification defines 4 merchant levels and 2 service provider levels (payment systems, data centers, hosting providers, etc.).According to the type of organization and classification by the number of transactions, PCI DSS compliance is demonstrated by three types of audit:

A QSA (Qualified Security Assessor) audit is carried out by an external audit organization qualified by the PCI SSC Council. An ISA (Internal Security Assessor) is prepared by an eligible internal security audit professionals who have received special PCI DSS training and is designated by the PCI SSC. A SAQ (Self Assessment Questionnaire) is signed off by a company officer who reports the results of their PCI DSS self-assessment.

Merchant levels:

Level 1 is suitable for merchants that process more than 6 million transactions per year or whose data has previously been compromised. These companies require a quarterly scan by an ASV and an annual external QSA or an ISA internal audit.

Level 2 is for merchants that process 1 million to 6 million transactions per year. These companies are required a quarterly scan by an ASV, as well as an annual SAQ signed by a company officer (Visa requirements) or an annual external QSA or an internal ISA (as required by Mastercard).

Level 3 is designed for merchants that process 20,000 to 1 million transactions per year. They need a quarterly ASV scan and a SAQ self-assessment every year.

Level 4 is suitable for merchants that process fewer than 20,000 transactions per year or all other merchants. They’re required for a quarterly scan by an ASV and a SAQ self-assessment annually.

Service provider levels:

In this case, the service provider validation criteria and the requirements don’t depend on a specific certain payment system.

Level 1 applies to all processing centers and service providers that process, transmit and/or store more than 300,000 transactions per year. Such companies need to conduct a vulnerability scanning ASV quarterly and an annual QSA audit.

Level 2 is designed for service providers that process, transmit and/or store data fewer than 300,000 transactions per year. They need a quarterly ASV scan and an annual SAQ safety self-assessment.