Введение в соответствие PCI

Существует множество причин, по которым предприятия, работающие с данными о держателях карт, должны заботиться о соблюдении требований индустрии платежных карт (PCI). Начнем с того, что соблюдение требований PCI является важной частью защиты держателей карт, снижения уровня мошенничества и предотвращения ущерба для вашей репутации. Кроме того, если будет установлено, что ваша организация не соответствует требованиям PCI, она будет подвергнута финансовым санкциям и, в конечном счете, не будет допущена к обработке или обработке транзакций по картам.

Достижение соответствия PCI может быть сложным и трудоемким. Для предприятий, которые хотят быстро запустить и масштабировать, это бремя обременительно. Чтобы помочь вам справиться с проблемами соответствия PCI, здесь мы предоставим ускоренный курс по этой теме. Мы также рассмотрим, как Marqeta может помочь предприятиям выполнить требования стандарта безопасности данных PCI (DSS) и быстро выйти на рынок.

Что такое соответствие PCI?

Соответствие PCI — это процесс соблюдения требований PCI DSS и процедур оценки безопасности при обработке, передаче или хранении данных держателей карт (CHD) или конфиденциальных аутентификационных данных (SAD).

Понимание PCI DSS

Давайте быстро ответим на вопросы и ответим на вопросы о PCI DSS.

Что такое PCI DSS?

PCI DSS (стандарты безопасности данных) — это стандарт индустрии платежей. Компании, которые обрабатывают, хранят или передают данные о держателях карт (CHD) или безопасные данные аутентификации (SAD), обязаны соблюдать требования PCI DSS. PCI DSS подробно описывает конкретные технические и операционные требования, применимые ко всем, кто работает с данными о держателях карт или связанными с ними конфиденциальными аутентификационными данными. Текущая версия PCI DSS v3.2.1 была опубликована в 2018 году и доступна для загрузки в [библиотеке документов PCI] (https://www.pcisecuritystandards.org/document_library). Версия 4 [ожидается, что она будет выпущена в начале 2022 года] (https://blog.pcisecuritystandards.org/updated-pci-dss-v4.0-timeline).

Кто создал PCI DSS?

[Совет по стандартам безопасности PCI (PCI SSC)] (https://www.pcisecuritystandards.org/) — организация, созданная Visa, MasterCard, American Express, Discover Financial Services и JCB International в 2006 г., — создала и поддерживает стандарт PCI. стандарты ДСС.

Для чего нужен PCI DSS?

PCI DSS направлен на повышение безопасности данных держателей карт и обеспечение согласованности процессов, используемых для защиты транзакций по картам во всем мире.

Что такое ИБС?

Данные держателя карты (CHD) включают основной номер счета (PAN), имя владельца карты, дату истечения срока действия и сервисный код. PCI DSS обеспечивает безопасное хранение CHD при необходимости.

Что такое САД?

Данные безопасной аутентификации (SAD) включают в себя полные данные магнитной полосы (или их эквивалент, например данные чипа EMV), номер CVV2/CVC2/CID, PIN-код или блок PIN-кода. В большинстве случаев PCI DSS НЕ разрешает хранение SAD после авторизации, хотя мы рассмотрим исключение в разделе «Подпадают ли эмитенты карт под действие требований PCI DSS?» ниже.

Нужно ли мне соблюдать PCI DSS?

Если вы обрабатываете, передаете или храните данные о держателях карт (CHD) или конфиденциальные данные аутентификации (SAD), то да, вам необходимо соблюдать PCI DSS.

Что такое данные аккаунта?

CHD и SAD вместе называются данными учетной записи.

Что такое CDE?

Среда данных о держателях карт (CDE) состоит из всех людей, процессов и технологий, которые передают, хранят или обрабатывают данные учетных записей в сети.

Каковы 12 требований для достижения соответствия PCI?

PCI SSC описывает [12 требований высокого уровня] (https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security), которым должны соответствовать предприятия, чтобы быть совместимыми с PCI. Требования сгруппированы по более крупным категориям (или целям) и представляют собой целостное сквозное представление CDE, включая такие элементы, как конфигурация брандмауэра, пароли по умолчанию, шифрование и даже физический доступ. На первый взгляд это может пугать. Однако для многих цифровых компаний эти шаги либо соответствуют передовым практикам, которым они должны следовать в любом случае.

Используя платформу Marqeta, организация может переложить некоторые свои обязательства по соблюдению требований на Marqeta. Однако это не освобождает организацию от необходимости проявлять должную осмотрительность для выполнения любых оставшихся требований.

Например, Требование № 8 звучит так: «Назначьте уникальный идентификатор каждому лицу, имеющему доступ к компьютеру». Компания может построить свою программу платежных карт с платформой Marqeta, но эта компания все равно должна предоставлять своим пользователям уникальные идентификаторы.

Каковы уровни соответствия PCI?

Продавцы (организации, принимающие платежные карты) и поставщики услуг (организации, которые обрабатывают платежи или предоставляют услуги банкам-эквайерам и продавцам) имеют разные требования к проверке для достижения соответствия PCI в зависимости от их «уровня» или «уровня». Как правило, уровень организации привязан к количеству транзакций, которые она обрабатывает ежегодно, причем уровень 1 является самым высоким.

Пять основных карточных сетей (Visa, MasterCard, American Express, Discover Financial Services и JCB International) устанавливают собственные требования к уровням PCI. Поскольку большинство сетей имеют схожие требования, требования Visa являются хорошим общим ссылка для понимания основ.

В чем разница между соответствием PCI и сертификацией PCI?

Простой способ сравнить соответствие PCI и сертификацию PCI: Соответствие PCI — это соблюдение вашей компанией двенадцати требований PCI DSS. Сертификация PCI, с другой стороны, является подтверждением того, что компания соответствует требованиям PCI.

Любая организация, которая принимает или обрабатывает платежные карты, должна соответствовать требованиям PCI и иметь сертификат PCI. На первый взгляд это может показаться пугающим и сложным. Однако сложность процесса сертификации PCI зависит от уровня продавца PCI в каждой организации.

Продавцы уровня 1 — это те, которые ежегодно обрабатывают более 6 миллионов транзакций по кредитным картам Visa, Mastercard или Discover. Эти продавцы обязаны проходить ежегодную оценку PCI DSS, проводимую PCI [квалифицированным оценщиком безопасности (QSA)] (https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors), по результатам которой составляется окончательный отчет о соответствии.

Остальные уровни продавцов (от 2 до 4) могут получить свой сертификат соответствия PCI (AoC), который, в конечном счете, является их сертификацией, заполнив Анкету самооценки (SAQ), которая документирует самооценку организацией их соответствия PCI.

Многие компании, которые используют платформу Marqeta для создания программ платежных карт, попадают в категорию продавцов уровня 4 и должны ежегодно [заполнять SAQ-D] (https://www.pcisecuritystandards.org/pci_security/completing_self_assessment). Однако каждая компания должна определить свой уровень продавца соответствия и требования к сертификации, ознакомившись с документацией Совета по стандартам безопасности PCI.

Подлежат ли эмитенты карт требованиям PCI DSS?

Во многих случаях да, эмитенты карт подпадают под действие PCI DSS.

Существовало распространенное заблуждение, что эмитенты карт освобождаются от требований PCI DSS, потому что у них нет другого выбора, кроме как хранить SAD. Однако стандарт PCI DSS v3.2.1 (в Раздел 3.2) поясняет, что эмитенты карт, имеющие законную деловую потребность, могут хранить SAD. На эмитентов по-прежнему распространяются все другие соответствующие требования PCI DSS.

Подпадает ли ваша карточная программа под действие PCI DSS, зависит от того, как вы относитесь к CHD и SAD. Некоторые из типичных случаев использования эмитентом карт, требующих соответствия PCI, включают:

• Разрешить владельцам карт активировать карты в приложении или на веб-странице.

• Разрешить держателям карт устанавливать PIN-коды в приложении или на веб-странице.

• Отображение конфиденциальных данных учетной записи в приложении или на веб-странице

• Карточные программы с обналичкой

• Карточные программы с международными расходами

Упрощение соответствия PCI

Достижение соответствия PCI может быть сложным и трудоемким процессом для организаций, внедряющих новые программы карт. Обеспечение безопасной передачи, хранения и обработки данных учетной записи в вашей среде CDE может быть сложным процессом. Это особенно актуально для карточных программ со снятием наличных и многоразовых карт, требующих соответствия стандарту PCI Level 1.

Одно из решений, [платформа Marqeta] (https://www.marqeta.com/), помогает организациям снять значительную часть — хотя и не полностью — бремени соответствия требованиям PCI. Помимо [поддержания строгих мер безопасности и сертификации PCI DSS уровня 1] (https://www.marqeta.com/docs/developer-guides/security), Marqeta предоставляет компаниям доступ к PCI-совместимой библиотеке JavaScript и множеству PCI-совместимые виджеты. Давайте подробнее рассмотрим эти ресурсы и их преимущества.

Marqeta.js: PCI-совместимая библиотека JavaScript

Marqeta.js — это платформа JavaScript, которая позволяет отображать конфиденциальные данные карты в ваших приложениях, перекладывая этот аспект бремени соответствия на Marqeta. Marqeta.js внедряет настраиваемые iframe в HTML. Для мобильных приложений это требует использования WebView. В результате вы можете отображать виртуальную карту без обработки, хранения или передачи данных на свои серверы.

Кроме того, несмотря на то, что вы перекладываете обработку данных на Marqeta, вы можете управлять стилем HTML-страниц в соответствии с вашим приложением. Чтобы начать работу с Marqeta.js, см. Использование Marqeta.js.

PCI-совместимые виджеты

Некоторые из наиболее распространенных вариантов использования, в соответствии с которыми эмитенты карт должны соответствовать стандарту PCI DSS, включают передачу данных учетной записи в рабочих процессах активации карты и PIN-кода. Marqeta предлагает настраиваемые виджеты «Активировать карту» и «Установить PIN-код» для этих сценариев. Эти виджеты разработаны в соответствии с PCI DSS в отношении хранения, передачи и обработки CHD.

Чтобы использовать эти виджеты, вы просто встраиваете iframe в родительскую страницу своего приложения и настраиваете его, передавая параметры запроса в исходном URL-адресе. Вся обработка выполняется на серверах Marqeta. Для мобильных приложений собственные виджеты пока недоступны, но разработчики по-прежнему могут использовать встроенные фреймы в WebView.

Ознакомьтесь с [Использование виджетов активации карты и установки PIN-кода] (https://www.marqeta.com/docs/developer-guides/using-activate-card-and-set-pin-widgets), чтобы начать использовать эти виджеты. Чтобы понять, как можно настроить виджеты, см. [Предварительный просмотр стиля виджета Marqeta] (https://www.marqeta.com/widgets/customize-styles.html).

В дополнение к виджетам «Активировать карту» и «Установить PIN-код» в Marqeta есть [Виджет добавления платежной карты] (https://www.marqeta.com/docs/developer-guides/using-add-payment-card-widgets). ) в бета-версии. Этот виджет позволяет пользователям безопасно вводить данные платежных карт с карт, не выпущенных Marqeta, чтобы активировать выплаты с помощью push-to-card.

Вывод

Обеспечить соответствие вашей организации стандарту PCI — непростая задача. Требуется четкое понимание того, что требуется от вашей организации для подачи жалобы и что требуется для подтверждения того, что вы соответствуете требованиям. Однако риск несоблюдения правил слишком велик, чтобы его игнорировать.

К счастью, организации, которые делают свою домашнюю работу и обращаются за помощью к экспертам, смогут более гладко и быстро добиться соответствия требованиям. В одном тематическом исследовании обсуждается, как Marqeta помогла [Ramp начать транзакции через сеть Visa в течение двух месяцев] (https://resources.marqeta.com/c/ramp_case_study_v3-p?x=MJAgIQ). Переложив сложность соответствия требованиям PCI на Marqeta, предприятия могут быстро выйти на рынок без ущерба для безопасности.