Страница 5 из 13
6 сентября 2006 года был выпущен стандарт PCI DSS1.1. Самым значительным добавлением к первой редакции стандарта стало требование 6.6, гласившее, что весь исходный код приложений надлежит профессионально исследовать на наличие уязвимостей (причем делать это следует с привлечением независимых специалистов). Кроме того, файруолл для веб-приложений должен быть установлен перед самим веб-приложением. Другими словами, перед тем, как пакет данных поступит в приложение, он должен пройти через файруолл, где будет исследован и, в случае опасности, отклонен. В этот же период пять основных мировых карточных брендов, Visa, MasterCard, American Express, JCB и Discover, объявили о создании независимой группы – совета по стандартам безопасности PCI, PCI Security Standards Council (PCI SCC), которой предстояло развивать стандарт безопасности в дальнейшем.
В 2008 году появился новый стандарт безопасности данных платежных приложений – Payment Application Data Security Standard PA-DSS. Совет PCI SSC анонсировал PA-DSS. Базируясь на лучших практиках Visa, новая дочка PCI DSS была создана в помощь разработчикам программного обеспечения для создания защищенных платежных приложений, которые не сохраняют критичные данные (данные с магнитной полосы, CVV2 и PIN-код).
1 октября 2008 года был выпущен PCI DSS версии 1.2. Основные его нововведения включили в себя обновленные требования для защиты беспроводных сетей Wi-Fi 802.1x и установку антивирусов для всех операционных систем. Стандарт PCI DSS2.0 увидел свет двумя годами позже, в октябре 2010 года. Версия 3.0 появилась в ноябре 2013 года.
Соответствие стандарту на рекордном уровне было зафиксировано в августе 2012 года. Visa сообщила, что соответствие стандарту PCI DSS среди мерчантов первого уровня (Level 1)[5] достигло 97 % – рекордно высокого уровня. Это означало, что крупнейшие мерчанты сделали огромные успехи для увеличения безопасности использования платежных карт.
5.2. Техническое взаимодействие
Для подключения интернет-магазина к платежному шлюзу PSP или банка-эквайера существует два вида взаимодействия:
1. Прием и вся обработка платежных данных происходят на стороне платежного шлюза. Ключевой момент заключается в том, что карточные данные не проходят через серверы торговых точек, а идут напрямую в платежный шлюз. Таким образом, техническим специалистам торговой точки для интеграции платежной страницы процессинга в интернет-магазин необходимо выполнить лишь минимальный набор действий, не требующих сколь-нибудь высокой квалификации. Вся ответственность за безопасность обработки и хранения карточных данных, а также за их целостность при проведении платежа в этом случае целиком ложится на платежный шлюз.
2. Торговая точка принимает карточные данные через собственную платежную страницу, самостоятельно их обрабатывает (и, скорее всего, в какой-то форме хранит) и отсылает необходимые для проведения транзакции данные в платежный шлюз через предоставленный процессингом API (Application Programming Interface). В таком варианте уровень подготовки технических специалистов торговой точки должен быть существенно выше, нежели в первом варианте. Торговая точка при этом несет больше рисков и, как правило, должна соответствовать требованиям стандарта PCI DSS. Более подробно мы рассмотрим этот вопрос в соответствующей главе.
Большинство интернет-магазинов выбирает первый вариант, оставляя «головную боль» с карточными данными на стороне платежных шлюзов, которые ежегодно проходят аудит PCI DSS.
Выбор второго варианта, более сложного, затратного и связанного с большим риском, может быть оправдан для крупных компаний. Им необходимо проводить значительную постплатежную обработку принятых данных: статистические исследования, анализ данных в целях принятия бизнес-решений и т. д. Для этого необходимо иметь такие данные в собственном распоряжении (в противном случае для каждой выборки компания будет вынуждена обращаться к процессингу), что и требует прохождения их через серверы торговой точки.
6. Риски
6.1. Риски в платежных системах Visa/MasterCard
Какие риски возникают у пользователей и участников платежных систем Visa и MasterCard? Логично разделить риски на три подгруппы: риски держателей карт, риски банков-эквайеров и риски торговых точек. Я специально вынес в отдельную группу держателей карт, поскольку о них часто забывают, и, как мы уже увидели, в том числе это свойственно российским законодателям.
6.1.1. Риски держателей карт
У держателей карт основной риск сводится к тому, что их денежные средства могут достаться злоумышленникам. Для этого достаточно перехватить данные карточки, поскольку при операциях во многих интернет-магазинах банк-эмитент принимает решение о возможности списать средства со счета клиента без участия последнего. Вероятно, сейчас читатель подумал: «Но ведь существует механизм 3-D Secure, когда плательщик подтверждает свои операции посредством одноразового пароля, полученного от банка через SMS!» Однако система 3-D Secure была разработана в первую очередь для защиты банков-эквайеров от Friendly Fraud (англ. дословно – «дружественное мошенничество»), хотя достаточно часто она преподносится держателю карты как выгодная и предусмотренная для плательщика. Коснемся этого вопроса чуть ниже.
6.1.2. Риски банка-эквайера
Банк-эквайер несет всю ответственность за свои торговые точки в платежных системах. И если МПС штрафует за, к примеру, продажи запрещенного товара, то штраф списывается с банка-эквайера, а не с интернет-магазина. Разумеется, банк приложит все усилия, чтобы переложить штраф непосредственно на торговую точку, если к этому моменту та еще будет существовать и на ее счетах будут средства. К примеру, в России принято переводить возмещение торговой точке на второй день. Но при этом платежная система рассчитывается с участниками только на третий день. Ведь, по сути, банки-эквайеры кредитуют свои торговые точки. За chargeback’и в первую очередь платит банк-эквайер. Это происходит в случаях, если услуга не была оказана или транзакция прошла без подтверждения ввода держателем карты пароля (3-D Secure).
Как уже упоминалось выше, технология 3-D Secure была разработана для защиты банков-эквайеров (и торговых точек) от Friendly Fraud – для ситуаций, когда держатель карты сам опротестовывал свою же транзакцию. Поскольку законодатель переложил ответственность за мошенничество на банк, выпустивший карту, а платежные системы в конечном счете переадресовали ее банкам-эквайерам, проблема Friendly Fraud’а встала достаточно остро.
Возможно возникновение следующей ситуации: магазин продал товар покупателю, покупатель расплатился картой, а на следующий день банк-эмитент обанкротился. Такие риски в платежных системах компенсируются созданием страхового фонда, куда каждый участник вносит определенные суммы. Следует пояснить, что часть правил, касающаяся депозитов для участников Visa и MasterCard, закрыта для общего доступа. Тем не менее, она прекрасно скопирована системой МИР.
6.1.3. Риски торговой точки
У торговой точки возникает риск неполучения возмещения. Этот риск компенсируется страховыми фондами в самой платежной системе, а дальнейшая судьба зависит непосредственно от «совести» банка или Payment Facilitator, с которым торговая точка подписала договор. При этом величина рисков прямо пропорциональна числу посредников в цепи прохождения денег. Больше посредников – выше риски.
Здесь следует отметить, что PSP в данном контексте обычно не является посредником, поскольку непосредственно в процедуре движения финансовых средств в процессе платежа от покупателя к продавцу, как правило, не участвует, а лишь является информационным шлюзом, обеспечивающим прохождение данных о движении средств между плательщиком, эквайером и торговой точкой. Проще говоря, не существует момента, когда средства, движущиеся от покупателя к продавцу, хотя бы на мгновение оказываются на расчетных счетах PSP. Задача PSP в общем случае заключается в том, чтобы сообщить эквайеру карточные данные покупателя, получить от него подтверждение об успешном списании средств, после чего сообщить торговой точке, что платеж произведен и можно отгружать покупателю товар или оказывать услугу, а покупателю сообщить, что платеж произведен и он может ожидать от торговой точки получения товара или оказания услуги.
5
Мерчантами первого уровня (Level 1 по классификации Visa и MasterCard) называются торгово-сервисные предприятия, обрабатывающие, хранящие или передающие данные о 6 млн и более транзакций в год, либо поставщики услуг (процессинговые центры, платежные шлюзы etc), обрабатывающие, хранящие или передающие данные о 300 тыс. и более транзакций в год.