Сертификация по PCI DSS для ритейлера: выгодная необходимость
Евгений Безгодов, исполнительный директор компании Deiteriy, специализирующейся на услугах информационной безопасности.
Стандарт безопасности данных индустрии платежных карт PCI DSS знаком, возможно, не многим читателям журнала Retail&Loyalty. В то же время в течение всего 2011 года на фоне динамичного роста числа банков и процессинговых структур, сертифицированных по этому стандарту, прослеживается явный тренд по смещению акцентов в сторону розничной торговли. Сегодня мы поговорим о причинах таких изменений и о том, как представителям сферы ритейла сориентироваться в вопросах сертификации.
Популярность платежей по картам в сфере ритейла в России заметно растет. И хотя объем этого рынка еще очень далек от европейского и тем более американского уровня, зарплатные проекты, ко-брендовые и предоплаченные карты постепенно делают свое дело.
Посмотрев на недавнюю историю аналогичного роста карточного рынка на Западе, мы можем сделать некоторые прогнозы относительно российского рынка. На Западе вместе с ростом количества платежей развивалось и мошенничество с платежными картами. Карты похищались, копировались, подделывались, по поддельным картам совершались покупки и снимались деньги в банкоматах. Это не могло не беспокоить международные платежные системы, такие как Visa, MasterCard, а также пока еще менее популярные в России American Express, Discovery и JCB. В 2006 г. они объединили свои усилия и создали международный стандарт безопасности данных индустрии платежных карт - PCI DSS.
Стандарт PCI DSS обязывает каждую организацию, обрабатывающую данные с платежных карт, такие как, например, номер карты, информацию на магнитной полосе и ПИН-код, принимать определенные меры по их защите от компрометации.
Под требования PCI DSS попадают прежде всего такие типы компаний, как банки, процессинговые структуры и торгово-сервисные предприятия, принимающие платежи по картам, таким образом, они распространяются практически на всю сферу ритейла. Все эти организации обязаны соблюдать требования этого стандарта и ежегодно подтверждать свое соответствие его требованиям.
На российский рынок PCI DSS пришел в 2007 г., когда у нас появилась первая компания - сертифицированный аудитор по этому стандарту - QSA-аудитор.
Разумеется, международные платежные системы не могли потребовать исполнения требований стандарта от всех организаций в одночасье. Поэтому были разработаны специальные программы продвижения стандарта. На первом этапе соответствия потребовали от банков, которые, в свою очередь, должны были требовать того же от обслуживаемых ими в рамках эквайринга торгово-сервисных предприятий.
Достижение соответствия PCI DSS банками заняло довольно длительный период и продолжается в России до сих пор. Пока количество сертифицированных по стандарту банков было незначительным, для торгово-сервисных предприятий существовал довольно свободный период, когда формально соответствие от них требовалось, но по факту не многие были об этом даже проинформированы со стороны своих банков.
На Западе этот период уже закончился несколько лет назад, и сейчас основной рынок сертификации по PCI DSS там составляют именно торгово-сервисные предприятия, в том числе средние и крупные торговые сети. Драйвер такого роста различен в разных странах. В Великобритании, например, банки существенно снижают процентную ставку за эквайринговые услуги для компаний, прошедших сертификацию. В Финляндии все крупные эквайеры требуют соответствия, не оставляя торговосервисным предприятиям выбора. В США этот рынок развит уже давно, и сертификация там поставлена на поток.
В России 2011 год ознаменовался бурным ростом рынка сертификации PCI DSS. В течение этого года было опубликовано небывалое количество пресс-релизов об успешном завершении проектов по сертификации российских банков и платежных агрегаторов. Их число достигло сегодня того уровня, когда можно с уверенностью утверждать: период отсрочки сертификации для торгово-сервисных предприятий скоро закончится. Ожидания роста подтверждаются появлением сразу трех новых компаний QSA-аудиторов на российском рынке в 2011 г., а интерес к сертификации со стороны торгово-сервисных предприятий – проведенным летом минувшего года тендером на сертификацию сразу трех крупнейших российских сетевых брендов в сфере ритейл.
Как получить сертификат
Приступая к подготовке к сертификации, торгово-сервисному предприятию стоит прежде всего определиться, есть ли у него необходимость самостоятельно обрабатывать карточные данные.
Зачастую устройства для приема платежных карт – EFTPOS-терминалы – предоставляются и обслуживаются банкомэквайером или процессинговыми структурами и подключаются по шифрованному каналу связи через Интернет прямо к процессингу банка. В этом случае при правильной организации платежного процесса карточные данные не попадают в информационную инфраструктуру торгово-сервисного предприятия. При таких условиях к торгово-сервисному предприятию применимо лишь относительно небольшое количество требований стандарта, а основная работа по обеспечению соответствия ложится на плечи банка.
Однако зачастую бывает так, что платежный процесс не отделен должным образом от инфраструктуры магазина, и карточные данные попадают на его кассовое и серверное оборудование. Мы не раз сталкивались с ситуацией, когда при наличии на кассе EFTPOS-терминала, предоставленного банком для считывания карт, бизнес-процесс организован таким образом, что карта прокатывается по считывателю, предназначенному для работы с дисконтными картами и встроенному в сам кассовый аппарат. Это накладывает на торгово-сервисное предприятие ответственность за возможные утечки данных держателей карт из его информационной инфраструктуры.
В некоторых случаях обработка карточных данных в информационной инфраструктуре торгово-сервисного предприятия может быть оправданна задачами и спецификой бизнеса. Однако и тогда стоит удостовериться в такой необходимости и принять решение организовать безопасность данных или все же переложить эту обязанность на свой банк-эквайер.
Для комплексного решения задач подготовки и сертификации по PCI DSS консультационные и аудиторские компании – QSAаудиторы – предлагают готовые пакеты услуг. Стандартный проект по подготовке и сертификации выглядит следующим образом.
На первом этапе консультант выполняет предварительное обследование сертифицируемой организации. В ходе такого обследования проверяется соответствие информационной инфраструктуры компании каждому требованию стандарта. По результатам составляется отчет с перечнем проверенных требований и указанием выполненных и не выполненных требований и описанием соответствующих причин.
По всем невыполненным требованиям разрабатывается план работ с инструкциями по их выполнению.
Консультантом также разрабатываются для сертифицируемой организации внутренние нормативные документы, регламентирующие процессы информационной безопасности – начиная от политики информационной безопасности и заканчивая инструкциями для сотрудников и формами журналов регистрации событий.
После этого начинается этап внедрения в торгово-сервисном предприятии полученных от консультанта рекомендаций и документов. Эти задачи могут выполняться как силами заказчика, так и внешней организацией, и именно от этого этапа больше всего зависит срок реализации всего проекта.
После того как внедрение завершено и компания готова к проверке соответствия, выполняются финальные этапы проекта – сканирование уязвимостей информационной инфраструктуры, тестирование на проникновение и сертификационный аудит, по результатам которого компании выдается сертификат соответствия PCI DSS.
Сертификационный аудит выполняется только компаниями, обладающими специальным статусом – QSA-аудитор, выдаваемым регулятором отрасли – Советом PCI SSC. Срок выполнения всего проекта составляет в среднем от 3 до 12 месяцев, в зависимости от сложности сертифицируемой информационной инфраструктуры.
Какие преимущества принесет сертификация PCI DSS ритейлерам?
В преддверии активной сертификации торговосервисных предприятий по стандарту PCI DSS прохождение такой сертификации будет хорошим аргументом в выстраивании отношений с банками-эквайерами. Она позволит торговосервисной компании более свободно выбирать среди предложений, имеющихся на рынке эквайрингового обслуживания, и вести диалог о снижении процентных ставок. Сертификат будет также хорошим подспорьем в организации совместных проектов с банками, например, по запуску ко-брендовых карт для повышения лояльности определенных категорий клиентов.
Не стоит забывать также о снижении рисков, связанных как со штрафными санкциями за несоответствие стандарту, так и с мошенничеством с платежными картами и перспективой возврата незаконно списанных в пользу продавца денежных средств. Пока в России случаи срабатывания этих рисков весьма и весьма редки, но если помнить о том, что наш платежный рынок повторяет путь западного с отставанием в 2–3 года, то значимость этого фактора будет постоянно возрастать.
Пресловутые имиджевые потери уже сегодня имеют несколько примеров в виде реальных историй, передаваемых владельцами карт через социальные сети. В них рассказывается о действиях злоумышленников, похитивших деньги с карт, однако при этом в негативном свете упоминаются также и торговые бренды, системы которых злоумышленники нелегально использовали в своих целях.
Объединение проекта сертификации торговосервисного предприятия по стандарту PCI DSS с мероприятиями по повышению лояльности покупателей и совместными проектами с банкамипартнерами способно заметно повысить эффективность каждой из этих инициатив.
R&L новости
Банки Украины активно внедряют POS-терминалы в магазинах
Терминализация предприятий розничной торговли и общественного питания в III квартале 2011 г. на Украине резко ускорилась: банки установили в торговых точках 5161 POS-терминал, тогда как во II квартале магазины и рестораны пополнились в 2 раза меньшим количеством терминалов (2423). Общее количество терминалов на Украине превысило максимальный уровень, зафиксированный 1 января 2009 г., на 2,7% и достигло 87,6 тыс., сообщили в Национальном банке Украины (НБУ).
Половину новых устройств в рознице установил ПриватБанк – 2494 штук, тогда как во II квартале он ввел в эксплуатацию всего 559 шт. «Мы запустили бесконтактную технологию – наращивание терминалов частично связано с этим проектом. До конца года мы планируем установить 2,5-3 тыс. устройств, из которых 2 тыс. будут использоваться для бесконтактных платежей», – говорит руководитель бизнеса по работе с торговыми предприятиями ПриватБанка Роман Негинский.
Активно устанавливали терминалы также Укрэксимбанк (+655 шт.), «Райффайзен Банк Аваль» (+413 шт.), ПУМБ (+332 шт.), «Пивденный» (+245 шт) и УкрСиббанк (+233 шт.). При этом банки снизили темпы эмиссии карт: с июля по сентябрь 2011 г. выпущено 2,88 млн карт против 3,33 млн во II квартале. Высокие темпы продвижения торговых терминалов связаны с приближением крайнего срока их установки. Постановление Кабмина Украины № 878/2010 обязало предприятия малого бизнеса в крупных городах начать использование терминалов до 31 декабря 2011 г. Тогда же закончится срок установки аппаратов в городах с населением от 25 тыс. до 100 тыс. человек. Невыполнение требования, согласно Кодексу административных правонарушений, грозит кассирам магазинов и должностным лицам штрафами.
В крупных городах предприятия обязаны были установить POS-терминалы до 1 июля 2011 г. «Сейчас уже практически нет крупных предприятий, которые не установили терминалы. В магазинах есть хотя бы один аппарат», – говорит генеральный директор Украинской торговой ассоциации Игорь Кишко. Наличие терминала обязательно возле каждой второй кассы розничного учреждения. По данным Госстата, на 1 января 2011 г. действовали 64,8 тыс. объектов розничной торговли и 23,4 тыс. точек ресторанного бизнеса.
Полный текст статьи читайте в журнале «Retail&Loyalty» 1 (28)’ 2012 с. 43