Электронные платежи в интернете - стр. 10

В 2008 году появился новый стандарт безопасности данных платежных приложений – Payment Application Data Security Standard PA-DSS. Совет PCI SSC анонсировал PA-DSS. Базируясь на лучших практиках Visa, новая дочка PCI DSS была создана в помощь разработчикам программного обеспечения для создания защищенных платежных приложений, которые не сохраняют критичные данные (данные с магнитной полосы, CVV2 и PIN-код).

1 октября 2008 года был выпущен PCI DSS версии 1.2. Основные его нововведения включили в себя обновленные требования для защиты беспроводных сетей Wi-Fi 802.1x и установку антивирусов для всех операционных систем. Стандарт PCI DSS2.0 увидел свет двумя годами позже, в октябре 2010 года. Версия 3.0 появилась в ноябре 2013 года.

Соответствие стандарту на рекордном уровне было зафиксировано в августе 2012 года. Visa сообщила, что соответствие стандарту PCI DSS среди мерчантов первого уровня (Level 1)[5] достигло 97 % – рекордно высокого уровня. Это означало, что крупнейшие мерчанты сделали огромные успехи для увеличения безопасности использования платежных карт.

Для подключения интернет-магазина к платежному шлюзу PSP или банка-эквайера существует два вида взаимодействия:

1. Прием и вся обработка платежных данных происходят на стороне платежного шлюза. Ключевой момент заключается в том, что карточные данные не проходят через серверы торговых точек, а идут напрямую в платежный шлюз. Таким образом, техническим специалистам торговой точки для интеграции платежной страницы процессинга в интернет-магазин необходимо выполнить лишь минимальный набор действий, не требующих сколь-нибудь высокой квалификации. Вся ответственность за безопасность обработки и хранения карточных данных, а также за их целостность при проведении платежа в этом случае целиком ложится на платежный шлюз.

2. Торговая точка принимает карточные данные через собственную платежную страницу, самостоятельно их обрабатывает (и, скорее всего, в какой-то форме хранит) и отсылает необходимые для проведения транзакции данные в платежный шлюз через предоставленный процессингом API (Application Programming Interface). В таком варианте уровень подготовки технических специалистов торговой точки должен быть существенно выше, нежели в первом варианте. Торговая точка при этом несет больше рисков и, как правило, должна соответствовать требованиям стандарта PCI DSS. Более подробно мы рассмотрим этот вопрос в соответствующей главе.

Большинство интернет-магазинов выбирает первый вариант, оставляя «головную боль» с карточными данными на стороне платежных шлюзов, которые ежегодно проходят аудит PCI DSS.

Выбор второго варианта, более сложного, затратного и связанного с большим риском, может быть оправдан для крупных компаний. Им необходимо проводить значительную постплатежную обработку принятых данных: статистические исследования, анализ данных в целях принятия бизнес-решений и т. д. Для этого необходимо иметь такие данные в собственном распоряжении (в противном случае для каждой выборки компания будет вынуждена обращаться к процессингу), что и требует прохождения их через серверы торговой точки.