インターネットコマースの分野で働いており、自分のサイトで支払いを受け入れる(または既に受け入れる)予定の人のために、この投稿を準備しました。 国際的なPCI DSSデータセキュリティ標準について説明します。 銀行カードデータの処理とセキュリティを提供する情報インフラストラクチャの基本的な要件について説明しましょう。 また、認定に合格する主な理由と認定企業が受ける機会についても検討します。
PCI DSS(ペイメントカード業界のデータセキュリティ標準)は、ペイメントカード業界のデータセキュリティ標準です。 この標準は、国際決済システムVisaおよびMasterCardによって開発されました。 Webサイトで銀行カードデータを受け入れて処理することを計画している組織は、PCI DSS要件に準拠する必要があります。
PCI DSS証明書には4つのレベルがあり、主に処理されるトランザクションの最大可能数が異なります。
- レベル4では、年間最大2万件のトランザクションを処理できます。 PCI DSSへの準拠を確認するには、脆弱性の外部アドレスを四半期ごとにスキャン( ASVスキャン )し、自己評価シートに記入する必要があります ( 年次自己評価アンケート 、SAQ)
- レベル3では、2万から100万まで処理できます。 年ごとのトランザクション。 認証には、四半期ごとのASVスキャンと自己評価シート(SAQ)の両方が必要です。
- レベル2では、年間100万から600万のトランザクションを処理できます。 PCI DSS要件への準拠を確認するには、四半期ごとのASVスキャンおよび自己評価(SAQ)シートが必要です。 ただし、2012年6月30日以降、このレベルのSAQに記入するには、従業員を専門のトレーニングに派遣するか、監査会社( PCI QSA )を関与させる必要があります。
- PCI DSS レベル1要件への準拠の認定は、独立監査人(QSA)の関与がある場合にのみ実行され、年間600万件を超えるトランザクションを処理できます。 認証手順には、会社の情報インフラストラクチャの調査、標準への準拠に必要な推奨事項と規制文書の開発、および実装のためのコンサルティングサポートが含まれます。
当社は、PCI DSS規格への準拠について毎年認定されています。 私たちにとって、処理センターとして、PCI DSSレベル1への準拠は必須です。 国際決済システム(MPS)は、インターネット取得サービスを提供する企業にこのような要件を課しています。
インターネットを介して商品またはサービスを販売する企業は、いくつかの理由でPCI DSSに準拠していることが認定されています。
- 変換 企業は、バスケットから別の支払いページに切り替えるときに支払いの一部を失うことを恐れています。
- 画像。 大企業は、クライアントが会社のウェブサイトからサードパーティの組織(銀行または処理センター)のウェブサイトに切り替えて銀行カードデータを入力することを望まない場合があります。
- 技術的なタスク。 会社は、ビジネスの詳細に焦点を当てた独自のハイテク支払いスキームを構築する必要があります。
PCI DSS認定により、銀行およびインターネット企業自体の支払いインターフェースを介して銀行と直接連携することができます。 これにより、購入者がサードパーティのウェブサイトに移行する必要がなくなります。 さらに、独自の支払いシステムを構築すると、一度に複数の銀行と直接連携し、それらの間で「バランスをとって」、「カスケード」支払いのシステムを構築できます。 「カスケード」支払いの場合、その承認はいくつかの銀行と処理センターで順番に実行され、拒否されたトランザクションの割合を大幅に減らすことができます。
しかし、銀行との独立した仕事は、会社に支払いシステムを「それ自身のために」適応させることにおいて利点を与えるだけではありません。 彼女は、同社のウェブサイトで銀行カードのデータを処理する際に、詐欺行為との戦いを会社に義務付けています。 言い換えれば、会社は、不正取引(不正防止)を監視し、対処するための独自のシステムを構築する必要があります。 不正防止システムのタスクは、多くの兆候に従って不正と識別されたトランザクションを除外することです(たとえば、発行銀行が支払国または支払人の居住地と一致しないなど)。
不正防止システムの構築とデバッグの段階では、銀行カード取引のデータの収集と分析を「収集」するのに長い時間がかかります。 データ収集の目的は、不正取引の特徴を識別することです。 統計を収集する過程で、会社は大量の「チャージバック」操作に直面する必要があります。
独自の不正防止システムを構築することは、銀行カードによる支払いの大規模な取引を行う企業にとって論理的かつ財政的に正当化されます。 そのような企業にとって、支払いフィルタリングシステムの柔軟性と完全な制御が重要です。 さらに、このような企業は、独自の「ミニ処理センター」の技術とツールの開発と継続的な開発にリソースを割り当てる機会があります。
リスクを監視する上で、処理センターよりも優れたサービスプロバイダーを見つけることは困難です。 多様性とかなりの数の顧客のために、PCには監視とフィルタリングの広範な歴史があります。 企業が独自の不正防止システムの構築に従事している場合でも、処理のためのトランザクションを処理センターに送信して、内部のリスク専門家の間で疑念を生じさせることができます。
銀行カードデータの処理方法の選択について十分な情報に基づいた決定を行うには、サポートするカード所有者への文書の提出からプロセスのすべてのコンポーネントを評価する必要があります。 意思決定を容易にするために、銀行カードのデータを受信および処理するための2つの主なアプローチを比較しました:サードパーティのサイト(たとえば、処理センター)でデータが入力される場合-銀行での支払いの承認を伴う企業のWebサイトでデータが入力される場合
| 銀行カードのデータは、企業のウェブサイトに入力され、その後支払いが承認されます(たとえば、銀行で) | 銀行カードのデータは、サードパーティのサイト(たとえば、処理センターの安全な支払いページ)に入力されます | |
|---|---|---|
| PCI DSS | PCI DSS認定が必要です。 | 認証は必要ありません。 |
| 接続 | 支払いを直接受け取るには、独立して銀行に接続する必要があります。 銀行の決定は、とりわけ、会社の売上高に依存します。 | 接続するには、銀行とやり取りして契約を準備する個人マネージャーにドキュメントのパッケージを転送する必要があります。 |
| 委員会 | 銀行が支払いを処理するために請求する手数料は、取引額の2%からであり、売上高と会社の範囲によって異なります。 クライアントが銀行から直接受け取った手数料の割合は、HRCから提供された割合と同じであることがよくあります。 これは、HRCの「卸売」労働条件と、銀行が関心を持っているトランザクション監視の高レベルの信頼性によるものです。 | HRCが支払いと追加サービスの範囲を処理するために請求する料金は、取引金額の2.5%からであり、売上高と会社の範囲によって異なります。 |
| 簿記 | 同社は、会計報告の問題について銀行と対話し、独立して支払いを行っています。 レポートの準備には、銀行との積極的な作業および独自の課金システムの構築が必要です。 | PC請求システムは、顧客に取引のオンライン会計を行う機会を提供します。 個人アカウントのインターフェースで、会計文書(行為、PayOnlineシステムの詳細な明細書、アカウント)を独立してアップロードする機能。 |
| 支払人サポート | 支払者に適格なサポートを提供するには、独自のコールセンターを編成するか、サードパーティサービスを購入する必要があります(専門家の仕事のために25,000ルーブル/月から)。 既にコールセンターを持っている場合は、専門家がカード所有者と連携するための追加トレーニングを実施する必要があります。 また、コールセンターインフラストラクチャ(ソフトウェア、電話)の構築も必要です。 | オンラインストアで支払いを行うカード所有者のサポートは、HRCのコールセンターの専門家によって行われます。 |
| トランザクション監視 | トランザクションの監視は、銀行カードのデータを処理する電子商取引会社の資格のあるスタッフが実施する必要があります。 リスク専門家の給与は35,000ルーブルです。 /月 | ソフトウェアを含むトランザクション監視は、HRCのリスク部門の専門家によって実行されます。 |
| 鉄 | サーバー部分への投資が必要であり、認証と十分なレベルのセキュリティの確保に必要です。 金額は、レベルA証明書と提案されたインフラストラクチャによって異なります。 | トランザクション処理はセキュアなPCサーバーで行われるため、サーバー部分の開発に追加費用は必要ありません。 |
| 開発 | 支払いの自己受け入れを整理するには、銀行への安全なデータ転送サービス、支払いを受け入れるための安全なフォーム、および追加のインターフェースを含む請求システムを開発または購入する必要があります。 高度な資格を持つ専門家の常勤が最低65,000ルーブルの費用で必要です。 /月 | 処理センターに接続するには、会社のWebサイトで支払いフォームを実装するために、開発者が1回だけ関与する必要があります。 必要に応じて、ブランドペイメントフォームがHRスペシャリストによって開発されます。 |
| サイトでの支払いの受け入れ(サードパーティのリソースに切り替えることなく) | サードパーティのリソースに切り替えることなく、サイトで銀行カードデータを処理します。 | IFrameテクノロジーを使用してPCのWebサイトに直接アクセスしなくても、支払いの受け入れを実装することができます。 |
したがって、企業がPCI DSS認定を受け、サイトで銀行カードデータを個別に処理する場合、PCI DSS標準のすべての要件が適用されます。 ネットワーク、機器、アプリケーション、データベース、物理ストレージ、文書化、プロセス制御のレベルでセキュリティをカバーします。 また、前述のように、実装が困難で時間のかかるタスクである不正防止システムと課金システムの構築も、会社が独自に実行します。
支払いゲートウェイのみで動作し、データで顧客の銀行カードを受け入れない会社には、支払いゲートウェイ(PC)のリスクゲートウェイの要件のみが含まれます。 それらは、eコマース企業のサイト、コンテンツの正確さ、価格の申し出、会社の組織形態に関連しています。
この投稿を読んだ後に質問がある場合は、コメントを書いてください。 PCI QSA、CISA、DeiteriyのエグゼクティブディレクターであるEvgeny Bezgodov、別名Bezgodovは、監査員およびPCI DSS要件の専門家に代わってアドバイスします。 支払いゲートウェイの側では、いつものように、PayOnline処理センターの専門家が連絡を取り合っています。