Если вы продаете товары или услуги онлайн и предлагаете своим клиентам расплачиваться банковскими картами — эта статья может вам пригодиться. Любая организация, использующая собственный карточный процессинг, рано или поздно сталкивается с необходимостью сертификации по стандарту PCI DSS. Так вы сможете убедительно продемонстрировать клиентам, что их платежные данные надежно защищаются. Но в череде вполне понятных требований к хранению и удалению информации есть пара малоизвестных подводных камней. Предлагаем обсудить их.
Мы в «ИТ-ГРАД» в свое время озадачились сертификацией для оказания услуги хостинга PCI DSS. Процесс был непростым и открыл нам новые грани непознанного. Стандарт накладывает ряд ограничений как на организацию-заказчика, так и на провайдера. Но все это необходимо было сделать, чтобы облегчить задачу сертификации нашим клиентам. Как вы знаете, облака сейчас активно идут во все сферы жизни, а значит, все больше компаний захотят отказаться от собственного «зоопарка» систем в пользу унифицированного и надежного облачного решения.
Но не будем сейчас впадать в воспоминания «как это было» — лучше взглянем на упомянутые подводные камни. А касаются они записи телефонных разговоров операторов вашего call-центра и хранения лишней информации.
«Контролируете качество обслуживания»?
При любой интернет-оплате одним из необходимых компонентов успешного платежа является ввод кода CVV (тот, что с обратной стороны банковской карты). И если вы его периодически запрашиваете по телефону (для телефонного заказа, к примеру), вам стоит знать, что PCI DSS против любого хранения пресловутого CVV. И не важно, когда и как вы используете эту информацию, зачем собираете и насколько надежно шифруете.
И вот тут-то и кроется первый подводный камень: может показаться, что этот код нигде не хранится и просто разово произносится клиентом по телефону. Но вспомним про запись телефонных переговоров, которая обычно хранится довольно продолжительное время для потенциального разбора полетов. Как раз в такие записи и попадают конфиденциальные данные.
Единственным способом борьбы с нарушением является внедрение какого-нибудь процесса, который бы исключал ведение записи при произнесении клиентом заветных трех-четырех цифр. Это могут быть просто инструкции («так делай, а вот так вообще никогда не делай!»), но надежнее решить проблему технически. К примеру, можно отслеживать размещение курсора в электронной форме обращения, которую заполняет сотрудник поддержки. Когда он переходит в поле CVV — запись разговора приостанавливается и возобновляется только после смещения фокуса на что-либо еще.
Чтобы случайно не потерять целый кусок разговора из-за не слишком расторопного оператора, можно возобновлять запись сразу после окончания фразы клиента. Все это вполне реализуемо через API, которые предоставляют сервис-деск-системы и телефония.
Используете опцию повторных покупок?
Согласно постулатам PCI DSS, никакая информация о платежной карте не должна сохраняться после совершения клиентом операции. И тут есть два типа требований: PCI DSS и PA-DSS. PCI DSS предназначен для торговых организаций, принимающих к оплате пластиковые карты. Стандарт разработан так, чтобы обеспечить безопасность карточной информации на уровне продавца. В то же время PA-DSS создан для тех организаций, кто обрабатывает карточные платежи для других торговых организаций.
Тут следует понимать, что с точки зрения PCI DSS большинство торговых организаций, которые принимают к оплате карты, не имеют права каким-либо образом хранить CVV. Как же быть в случаях, когда один и тот же человек хочет повторно совершить покупку? Чтобы не заставлять его вновь вводить номер-дату-имя-код, организуйте обработку данных «пластика» на стороне — у провайдера с сертификатом PA-DSS.
При такой схеме вы напрямую пересылаете информацию о карте тому провайдеру, который вправе (и в состоянии) ее хранить. Взамен вы получаете некий токен (ID), который уникально идентифицирует карту в базе и может использоваться вашей организацией в будущем для повторных платежей.
Как быть, если в планах — переезд в облако?
Если вы рассматриваете SaaS, IaaS или любой другой вариант *aaS, то стоит знать и еще об одном нюансе: сертифицироваться нужно не только вам, но и провайдеру. PCI DSS сертифицированный провайдер — это компания, предоставляющая услугу сертифицированного PCI DSS хостинга и администрирования в соответствии с требованиями стандарта.
Сейчас на рынке облачных услуг все большей популярностью пользуется так называемый хостинг PCI DSS. Эта услуга актуальна для организаций, использующих облачную инфраструктуру для хранения, обработки и передачи данных платежных карт. С середины 2012 года все вовлеченные в этот процесс организации должны соответствовать требованиям стандарта PCI DSS, о чем мы рассказывали в статье Сертификация PCI DSS: часто задаваемые вопросы.
PCI DSS хостинг — услуга, обеспечивающая безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне сертифицированного PCI DSS хостинг-провайдера. Используя такую услугу, организация закрывает значительную часть требований стандарта. Фактически хостинг-провайдер берет на себя выполнение части требований PCI DSS — от физической защиты размещаемых серверов до администрирования операционных систем.
При этом с самой организации снимаются вопросы контроля физического доступа к серверам, видеонаблюдения и размещения сетевых брандмауэров или систем DPI. Одним словом, хостинг PCI DSS позволит вашему бизнесу избежать значительного числа проблем и препятствий на пути к удобному и безопасному клиентскому сервису.