Совет по стандартам безопасности индустрии платёжных карт (PCI SSC), созданный ведущими международными карточными организациями Visa, Mastercard, Amex, Diners, Discovery и JCB, разработал правила и документы PCI DSS, которые определяют принципы и политику безопасности карт.
PCI DSS распространяется на всех, кто обрабатывает, хранит и передает данные о пользователях карт и/или чувствительные данные аутентификации или может повлиять на безопасность среды данных о пользователях карт.
Сюда входят все, кто участвует в обработке платежных счетов - торговцы, процессоры, эквайеры, эмитенты и другие поставщики услуг. Эти правила устанавливают технические и операционные требования к организациям, которые принимают или обрабатывают платёжные операции.
Новейшая версия требований и стандартов доступна здесь.
Все торговцы, которые хранят, обрабатывают или передают данные пользователей карт и/или чувствительные данные аутентификации, должны обеспечить соответствие стандартам PCI DSS. Некоторые требования PCI DSS могут также применяться к тем, чья среда не хранит, не обрабатывает и не передает данные, например к тем, кто использует аутсорсинговые услуги для платёжных операций или управления средами данных о пользователях карт.
Элементы данных счёта (данные карты и чувствительные данные аутентификации):
|
Элементы данных |
Ограничения хранения |
Требование сделать хранимые данные несчитываемыми |
| Данные пользователей карт |
|
Номер карты (PAN) |
Хранение сокращено до минимума |
Да Номер карты (PAN) должен храниться в нечитаемом виде |
|
Имя, фамилия пользователя карты |
Хранение сокращено до минимума |
Нет |
|
Код услуги Трех- или четырёхзначный номер на магнитной дорожки карты |
Хранение сокращено до минимума |
Нет |
|
Срок действия |
Хранение сокращено до минимума |
Нет |
| Чувствительные данные аутентификации Сенситивные данные не должны храниться после авторизации даже в зашифрованном виде |
|
Полные данные дорожки Полные данные дорожки карты с магнитной полосы, чипа или другого источника |
После авторизации хранить нельзя |
Да, данные, хранящиеся до завершения авторизации, должны быть защищены с помощью надежной криптографии |
|
Код верификации карты (CVV2/CVC2) Трехзначный код, нанесенный на лицевой или обратной стороне платежной карты |
После авторизации хранить нельзя |
Да, данные, хранящиеся до завершения авторизации, должны быть защищены с помощью надежной криптографии |
|
БлокPIN/PIN Персональный идентификационный код, введённый пользователем карты во время транзакции, и/или зашифрованный блок PIN-кода, содержащийся в сообщении о транзакции |
После авторизации хранить нельзя |
Да, данные, хранящиеся до завершения авторизации, должны быть защищены с помощью надежной криптографии |
Как убедиться в соответствии требованиям PCI DSS?
Мы ежегодно информируем торговцев по электронной почте о действиях, которые они должны предпринять для обеспечения соответствия стандартам PCI DSS, и эти требования приведены в таблице ниже.
Торговцы делятся на четыре уровня в зависимости от количества транзакций по картам каждого бренда (например, Mastercard, VISA, Amex и т. д.) в год. Торговцы с первого по третий уровень должны информировать нас о своём статусе соответствия после выполнения необходимых действий. Торговцы четвертого уровня должны сообщить нам о своём статусе соответствия, отправив нам заполненную Анкету самооценки (SAQ).
| Уровень клиента |
Критерии операций торговцев |
Действия, которые должен предпринять торговец |
Частота |
| 1-й уровень |
Торговцы с общим годовым количеством транзакций по картам Mastercard или VISA от 6 миллионов и больше |
Внешний аудит безопасности, который проводит квалифицированный эксперт безопасности (QSA) |
ежегодно |
| Сканирование сети, которое проводит сертифицированный поставщик услуги сканирования сети (США) или квалифицированный эксперт безопасности (QSA) |
ежеквартально |
| 2-й уровень |
Торговцы с общим годовым количеством транзакций по картам Mastercard или VISA от 1 до 6 миллионов |
Квалифицированный эксперт безопасности (QSA) или внутренний оценщик безопасности (ISA)
Торговцы, заполняющие SAQ A, A-EP или D, обязаны привлечь QSA или ISA для проведения ежегодной проверки соответствия. Торговцы, заполняющие SAQ B, B-IP, C-VT, C или P2PE, теперь могут проводить самооценку без привлечения QSA или ISA для проверки соответствия. |
ежегодно |
|
Сканирование сети, которое проводит сертифицированный поставщик услуги сканирования сети (США) или квалифицированный эксперт безопасности (QSA)
|
ежеквартально |
| 3-й уровень |
Торговцы, работающие в сфере э-коммерции, с общим годовым количеством транзакций по картам Mastercard или VISA от 20 000 до 1 миллиона |
Заполнение ежегодной анкеты самооценки (SAQ) |
ежегодно |
| Сканирование сети, которое проводит сертифицированный поставщик услуги сканирования сети (США) или квалифицированный эксперт безопасности (QSA) |
ежеквартально |
| 4-й уровень |
Все остальные торговцы |
Заполнение ежегодной анкеты самооценки (SAQ) по выбору торговца |
ежеквартально - рекомендовано |
| Сканирование сети, которое проводит сертифицированный поставщик услуги сканирования сети (США) или квалифицированный эксперт безопасности (QSA) |
ежегодно – рекомендовано |
Важно! Торговцы должны провести:
- Аудит безопасности, проводимый сертифицированным аудитором, выступающим в качестве квалифицированного эксперта безопасности (QSA) у юридических лиц, перечисленных на официальном сайте PCI DSS.
- Сканирование сети квалифицированным поставщиком решений для сканирования сети, выступающим в качестве сертифицированного поставщика решений для сканирования (США) или квалифицированного эксперта безопасности (QSA). В США процедуру сканирования можно проводить как для обычных магазинов, так и онлайн-торговцев, но они не имеют права проводить ежегодные аудиты.
- Внутренний аудит, в ходе которого необходимо ответить на вопросы анкеты самооценки (SAQ). Содержание анкеты зависит от технического решения.
Требования и цели PCI DSS
12 требований и целей, приведённые в таблице ниже, помогут вам понять, какие важные шаги необходимо предпринять, чтобы соответствовать требованиям PCI DSS.
| Цели |
Требования PCI DSS |
| Создание и поддержка безопасной сети и системы |
1. Внедрить и поддерживать системы контроля безопасности сети.
2. Применять безопасные конфигурации ко всем компонентам системы.
|
| Защита данных пользователей карт |
3. Обеспечить защиту данных счетов при хранении.
4. Обеспечить защита данных пользователя карты с помощью сильной криптографии при передаче по открытой или общедоступной сети.
|
| Реализация программы контроля уязвимости систем безопасности |
5. Обеспечить защиту всех систем и сетей от вредоносных программ.
6. Разработать и поддерживать безопасные системы и программное обеспечение.
|
| Внедрение строгих мер контроля доступа |
7. Доступ к компонентам системы и данным пользователей карт должен быть разрешён только при наличии соответствующей деловой необходимости.
8. Пользователи должны быть идентифицированы, а доступ к компонентам системы должен быть авторизован.
9. Ограничить физический доступ к данным пользователей карт.
|
| Регулярный контроль и проверка сетей |
10. Весь доступ к компонентам сети и данным пользователя карты должен регистрироваться и контролироваться.
11. Обеспечить регулярные проверки систем безопасности и сетей.
|
| Поддержка политики безопасности информации |
12. Обеспечить безопасность информации с помощью политик и программ организации. |
Для получения более подробной информации посетите https://www.pcisecuritystandards.org/
Держатель карты имеет право оспорить любую сделку, совершенную с помощью карты Mastercard или Visa. Подобные претензии решаются в формате Chargeback и регулируются правилами, разработанными соответствующими международными организациями. В процессе Chargeback бремя доказывания ложится на продавца, которому должен предъявить документацию, подтверждающую законность сделки. В случае предъявления продавцом требуемых документов сумма сделки зачисляется обратно на его счет. В свою очередь, если продавец сделать это не в состоянии или не дает ответ в установленный срок, он обязан вернуть соответствующую сумму клиенту, подавшему претензию;
Каковы наиболее частные причины Chargeback?
Наиболее частые причины Chargeback:
- держатель карты не совершал соответствующую сделку (нередко является признаком мошенничества);
- отменяется регулярный платеж;
- товар не соответствует описанию;
- товар имеет дефект или брак;
- продавец не отвечает на запросы по купонам.
Процесс Chargeback может быть инициирован и по другим причинам, например, в случае неполучения товаров/услуг.
Как избежать Chargeback?
Как избежать Chargeback:
- Чтобы уберечь себя от претензий, связанных с недоставкой товара, рекомендуем использовать услуги компаний, предоставляющих подтверждение доставки.
- Чтобы избежать претензий, связанных с поломкой/повреждением товара, в случае отправки хрупких предметов советуем оформлять страхование перевозок. Обязательно установите четкие сроки, в которые подобные претензии должны быть рассмотрены.
- Если вы получили претензию в связи с повреждением товара, возникшим не во время перевозки, у вас есть два способа решения проблемы: если на товар распространяется гарантия, попросите клиента связаться напрямую с производителем или попросите клиента отправить товар назад вам. Обеспечьте, чтобы в вашей политике возврата были четко оговорены сроки возврата и порядок авторизации возвращенных товаров.
- Если клиент утверждает, что он не заказывал указанный товар, вы должны предъявить документацию, подтверждающую заказ клиента.
- Чтобы иметь надежную доказательную базу, все переговоры с клиентом ведите в письменном виде по электронной почте.
- Все правила и условия должны быть четко оговорены на сайте, предоставляющем соответствующие услуги. Информация, которая должна быть предоставлена клиенту перед заключением договора, прописана в нормативных актах, регулирующих защиту прав потребителей. Данные нормативные акты обязательны для любого лица, продающего товары или оказывающего услуги дистанционным способом.
- Информацию необходимо подавать в простом и понятном виде, и она должна соответствовать используемым дистанционным средствам связи. Предоставляемая информация должна содержать четкие сведения о соответствующих товарах или услугах, их цене (включая НДС и другие налоги), стоимости доставки, а также информацию о правах отказа клиента. Необходимо указать также полную контактную информацию вашего предприятия.
- Если заказанные клиентом товары или услуги могут быть недоступны, вы должны информировать клиента о том, готовы ли вы поставить ему вместо заказанных товаров или услуги другие товары или услуги равноценного качества и стоимости.
Торговые предприятия, принимающие к оплате расчетные карты, подвержены разного рода рискам. Цель данного материала - разъяснить возможные риски и подсказать меры, которые помогут вам максимально защитить себя от связанных с ними убытков.
Одним из самых больших рисков для магазинов, продающих товары или услуги через интернет, - это риск мошеннических сделок. Будьте внимательны и осторожны, в противном случае действия мошенников могут нанести вашему бизнесу большой урон. Чтобы вам было проще распознать возможных мошенников, предлагаем ознакомиться с рекомендациями по выявлению и предупреждению мошеннических и противоправных действий при совершении дистанционных покупок.
Что означает “авторизация”?
Что означает "авторизация":
- Номер счета действителен.
- Карта не была заявлена как утерянная или украденная (впрочем, карта может быть утеряна либо украдена или с ней могут совершаться несанкционированные действия, о которых держатель карты не знает, т.е. мошенники могли незаконным способом завладеть данными карты).
- На карте доступна необходимая для оплаты покупки сумма.
Чего не означает “авторизация”?
Что не означает "авторизация":
- Авторизация не означает, что лицо, вводящее или называющее номер карты, является законным держателем карты. Все ещё существует риск, что лицо, вводящее или называющее номер карты, либо украло карту, либо завладело ею каким-то иным незаконным способом.
- Существует также риск того, что покупатель использует номер карты, полученный им несанкционированным способом, а сама карта может и не быть в его распоряжении.
Несмотря на важность авторизации, она не может служить 100% гарантией от риска мошенничества или претензий. Эти риски остаются актуальными и в том случае, если авторизация успешно пройдена.
Какие интернет-магазины больше подвержены риску мошенничества?
Часто мишенью мошенников становятся нижеперечисленные товары, так как они обладают большой ценностью и их можно легко перепродать:
- Электроника
- Бытовая техника
- Драгоценности
- Компьютерная техника
- Мебель
- Товары, которые можно быстро и легко реализовать за деньги
Если вы занимаетесь продажей товаров из данного списка, призываем вас быть очень внимательными перед передачей/отправкой заказа. В частности, рекомендуем тщательно проверить, является ли покупатель истинным держателем карты.
Примеры операций, при совершении которых следует соблюдать особую осторожность.
Ниже приведены примеры ситуаций, когда нужно быть особенно осторожными, так как часто именно совокупность нескольких факторов может свидетельствовать о возможных мошеннических действиях.
- Покупатель совершает покупку впервые - мошенники для совершения преступлений всегда выбирают новые магазины.
- Необычно крупные заказы - так как краденые кредитные карты и номера счетов имеют ограниченный срок использования, преступники стремятся купить сразу как можно больше товаров.
- Разные способы заказа одного и того же товара - несколько экземпляров одного товара позволяют преступникам увеличить свою прибыль.
- Срочная или экспресс-доставка - преступники хотят как можно быстрее получить приобретенные мошенническим путем товары, чтобы продать их дальше, поэтому более высокая стоимость доставки их не пугает.
- Доставка за пределы страны, в которой работает интернет-магазин, - иногда полученные мошенническим путем товары доставляются преступникам за пределы страны проживания.
- Несоответствие информации в заказе - например, адрес счета не совпадает с адресом доставки, телефонный код отличается от кодов близлежащих почтовых отделений, а также подозрительные электронные адреса или необычное время совершения покупки.
- Несколько операций по одной карте за короткий промежуток времени - это может быть попыткой опустошить карту перед тем, как будет закрыт привязанный к ней счет.
- Отправка на один и тот же адрес заказов, совершенных по разным картам - это может свидетельствовать о генерировании номеров счетов с помощью специального программного обеспечения либо о целой партии краденых карт.
- Несколько сделок, совершенных одной или похожей картой с одним и тем же адресом счета, но с разными адресами доставки - это может указывать на деятельность организованной преступной группы (в противоположность действиям отдельных лиц).
- С одного IP-адреса совершаются несколько сделок с разными картами - использование двух и более карт может свидетельствовать о мошеннической схеме.
- Заказы с интернет-адресов, использующих услуги бесплатной электронной почты - такого рода электронные адреса не содержат никаких счетов, не фиксируют контрольные следы и не осуществляют проверок того, что счет был открыт законным держателем карты.
Как снизить вероятность мошеннических покупок и рекламаций в интернет-магазине?
Чтобы снизить риск мошенничества и рекламаций при совершении онлайн-покупок, продавцам следует соблюдать следующие меры предосторожности:
- требовать указание названия банка держателя карты - преступники, получившие данные карты незаконным путем, такой информацией, как правило, не владеют. Если покупатель замешкался или медлит с указанием названия своего банка, следует проявить осторожность;
- попросить покупателя прислать по факсу копию своего водительского удостоверения;
- риск неполучения товара возрастает, если заказ отправляется на абонентский ящик;
- после доставки товара получить от держателя карты подписанную им квитанцию о получении товара;
- в случае заказа большого количества товара связаться по телефону с держателем карты для подтверждения заказа. Или попросить держателя карты повторить все детали покупки устно. Нередко, если заказ является мошенническим, покупатель не в состоянии подтвердить эти данные, так как заказываются все товары подряд;
- соблюдать особую осторожность в случаях, когда одна покупка оплачивается сразу несколькими картами;
- не продолжать попытки авторизоваться после получения отказа;
- соблюдать особую осторожность при получении заказов из-за рубежа - рекомендуется не осуществлять отправку крупных заказов до проверки подлинности заказа.
Использование услуги аутентификации 3D Secure позволяет продавцу защитить себя от рекламаций в ситуациях, когда основанием для подачи рекламации является неучастие клиента в сделке (т.е. ответственность за риск мошенничества переносится).
Если Вам необходима консультация или Вы хотите сообщить о возможном мошенничестве, пожалуйста, свяжитесь с нами по телефону 67 444 444. Подробнее о безопасном использовании банковских услуг можно узнать здесь.
