決済業界も例外ではありません。 ビジネスの関心は、顧客が貿易およびサービス企業に有利に支払いを行い、すべての市場参加者にサービスに関連するサービスを提供するための最も迅速かつ快適な方法にあります。 残念なことに、店舗のウェブサイトでの便利なワンクリック支払いは、支払いチェーンの参加者の1人(店舗、銀行、または処理センター)がデータの処理時に必要なセキュリティ対策を講じなかった場合、銀行カード所有者に不快な結果をもたらします。 顧客カードのお金の安全性はビジネスの評判の問題ですが、率直に言って、直接的な利益はありません。 そのため、州の規制当局と国際社会が関与し、保護要件が設定されています。 以前の「キャッシュレス支払い」という用語が主に銀行と領収書のみに関連付けられていた場合、クレジットカード、小売キャッシュレス支払い、および電子マネーの普及は、主に電子商取引企業と支払い代理店に代表される決済業界の小規模ビジネスに関係していました。
過去数年にわたって、支払いのセキュリティに関する多くの規制文書が登場し、規制当局の活動から判断すると、さらに多くの規制文書が登場します。 現在、ロシアで最も関連性のある国際規格は、 PCI DSSおよびPA-DSS 、ならびに連邦支払いシステムに関する連邦法No.161-およびセキュリティ分野の関連細則です。 主にロシアの企業が対処しなければならないのは彼らと一緒であり、彼らは彼らのビジネスをキャッシュレス支払いと結びつけることに決めました。 それらを順番に考えてみましょう。
ペイメントカード業界データセキュリティ標準(PCI DSS)は、西側から来ており、歴史的に最初の一般的な支払いセキュリティ要件のセットになりました。 この標準は、国際決済システムVisa、MasterCard、American Express、JCB、およびDiscoverのコミュニティによって開発され、その開発のための規制機関であるPCI SSC Councilが作成されました。
この規格の適用対象は、上記の国際決済システムのいずれかのブランドで発行された決済カードの数を情報システムに保存、処理、または送信する各組織です。 つまり、その要件は通常のオンラインストア、銀行、支払いゲートウェイ、処理センター、およびその他の関連する構造に適用されます。 規制のイデオロギーによると、支払い取引の処理プロセスに関与するすべての組織は、商人とサービスプロバイダーの2つのカテゴリに分類されます。 1つ目は、商品やサービスを販売し、顧客(ショップ、レストラン、ホテル、ガソリンスタンド、駐車場)からの支払いカードを受け入れるすべての人を含みます。 2番目-支払いプロセスを提供するすべての人々-銀行、支払いゲートウェイ、国際決済システム自体、ホスティングプロバイダーなど。
PCI DSS標準には、カードデータの情報セキュリティを確保するためのかなり具体的な技術的要件および組織的要件のリストが含まれており、12のセクションに分かれています。 要件はコントロールカードの原則に従って編成されており、この要件に従って、ある要件から別の要件に移動し、「完了」または「未完了」のチェックマークを付けることができます。 このアプローチには欠点があります;情報セキュリティの専門家は、柔軟性に欠け、リスクベースのアプローチがないという基準を定期的にscります。 ただし、PCI DSSを正当化するために、標準は、 ISO 27001のスタイルでリスクを専門的に管理できる情報セキュリティスペシャリストがほとんどいない貿易およびサービス企業による大量実装向けに開発されたと言っておく価値があります。
標準の要件は、すべてのレベルで情報インフラストラクチャのセキュリティを確保することに焦点を当てています。 セキュアルームは、安全に開発されたアプリケーションとデータベースが使用する、正しく構成されたネットワークデバイスとサーバーをホストします。 継続的な監視と定期的な監査により、保護の関連性が確保されます。 訓練を受けた人員が、確立された手順に従って情報システムを管理します。 実際には、情報セキュリティは国際決済システムの観点から見た場合のように見えます。
組織は、PCI DSS標準への準拠を毎年確認する必要がありますが、確認する方法はいくつかあります。 これは、SAQ自己評価シートに記入し、内部ISA監査を実行し、外部QSA監査に合格しています。 どちらを選ぶか? この質問に対する答えは、一見思われるほど明白ではありません。 まず、組織が属する主な2つのタイプ(貿易とサービス会社またはサービスプロバイダー)のどちらかを覚えておく必要があります。
サービスプロバイダーについて話している場合、300,000という数字を覚えておく必要があります。これは、サービスプロバイダー向けにVisaとMasterCardの両方によって設定される、第1レベルと第2レベル(レベル1とレベル2)の境界です。 データベースに保存されている年間トランザクション数またはカード番号の総数が300,000の制限を超える場合、これが最初のレベルであり、外部QSA監査のためにPCI QSAステータスを持つ監査会社に電話する必要があります。 トランザクション数が少ない場合は、SAQタイプDの自己評価シートに記入し、取得銀行にサービスプロバイダーを提供します。 自尊心シートの種類については後で説明します。
組織が貿易およびサービス企業である場合、最大4つのレベルがあります。 ただし、簡単にするために、覚えておく必要があるのは1つの数字、つまり100万です。 ストアが年間100万件を超えるトランザクションを処理する場合、そのストアは第1レベルまたは第2レベルに属し、毎年外部QSAまたは内部ISA監査を受ける必要があります。 年間の合計トランザクション数が100万未満の場合、これは第3または第4レベルです。それらの場合、SAQ自己評価シートに記入するだけで十分です。そのタイプは、カードの処理方法に基づいて選択されます。 ここでの決定基準は、店舗の情報システムでのカード番号の保存です。 ストアがカードデータを保存する場合、SAQ Dです。システムを介してのみ転送し、保存しない場合-SAQ C.電話回線のみでサービスプロバイダーに転送する場合-SAQ B.貿易およびサービス会社がカードデータの処理を完全に行った場合認定されたサービスプロバイダーへのアウトソーシングであり、転送にも参加しない場合は、最小の自己評価シートSAQ Aが適用されます。コンプライアンス確認オプションの概要表を以下に示します。
貿易およびサービス企業とサービスプロバイダーのレベルの定義は、一般的なオリエンテーションのためにのみ国際決済システムによって与えられることを覚えておく必要があります。 最も重要なルールは、サービスプロバイダーまたはストアがPCI DSS要件に準拠するために、責任は主にサービス提供アクワイアラーバンクの責任であり、アクワイアラーバンクのみがコンプライアンスを確認する方法を組織に対して明確に決定する権利を持っているということです。
(続く)
テーブル。 PCI DSSコンプライアンスオプション
| オプション
| 適用性
| 検証手順の数
|
| SAQ A
| PCI DSS準拠を確認したサービスプロバイダーにカードデータの電子処理、保存、転送のすべての機能を提供した、電子商取引によって取引を行う取引およびサービス企業。
| 13
|
| SAQ B
| POS端末を使用し、電話回線を使用し、インターネット経由でカードデータを送信せず、電子カードデータストレージを持たない取引およびサービス企業。
| 29日
|
| SAQ C
| インターネットを介してカードデータを送信し、電子カードデータストレージを持たないPOS端末または決済アプリケーションを使用する取引およびサービス企業。
| 40
|
| SAQ C-VT
| PCI DSS準拠を確認し、電子カードデータストアを持たないサービスプロバイダーからインターネット経由で仮想Web端末を使用する販売者。
| 51
|
| SAQ D
| 支払いシステムまたは買収銀行の要件に応じて、ISAまたはQSA監査を必要とする人を除く、すべての貿易およびサービス企業とすべてのサービスプロバイダー。
| 288
|
| ISA監査
| 決済システムまたは買収銀行の要件に従ってQSA監査が必要な企業を除く、すべての貿易およびサービス企業。
| 288
|
| QSA監査
| すべての貿易およびサービス企業とすべてのサービスプロバイダー。
| 288
|