Что такое PCI compliance для карточных платежей?

Соблюдение требований PCI — это процесс выполнения Стандарта безопасности данных индустрии платежных карт, то есть PCI DSS. Это правила по безопасности, которые создавали крупные платежные бренды, чтобы снизить риск того, что данные карт будут раскрыты или использованы неправильно.

Если ваш бизнес принимает кредитные или дебетовые карты, даже время от времени, требования PCI могут касаться и вас. Сюда входят платежи в офисе, онлайн-оплата на кассе, мобильные ридеры, виртуальные терминалы и иногда регулярные списания.

Для большинства небольших компаний соблюдение требований PCI обычно означает использование одобренных платежных инструментов, ограничение того, где именно данные карт могут соприкасаться с вашими системами, регулярное обновление устройств и ПО, а также заполнение форм, которые запрашивают ваш платежный процессор или банк. Конкретные шаги зависят от того, как вы принимаете карты.

NodeBridge IT не оказывает услуги по обеспечению соответствия требованиям PCI и не имеет доступа к вашим системам. Мы предоставляем общие образовательные материалы и можем помочь вам найти независимого поставщика управляемых ИТ-услуг (MSP), если вам нужна поддержка, чтобы разобраться в ваших вариантах.

PCI важно, потому что данные карт чувствительны. Если платежная информация обрабатывается небрежно, это может привести к мошенничеству, чарджбэкам, проблемам с аккаунтом, штрафам со стороны платежных партнеров и длительной «уборке» последствий. Никто из порядочных провайдеров не обещает сеть, которую невозможно взломать, но хорошие практики могут снизить риски.

Также это важно потому, что ваш платежный процессор, компания, предоставляющая мерчант-услуги, обслуживающий банк (acquiring bank) или партнеры по картам могут потребовать от вас подтверждения вашего статуса PCI. Проще говоря: они хотят понять, обрабатываете ли вы данные карт более безопасно и контролируемо.

Для владельца малого бизнеса цель обычно практическая, а не техническая. Используйте способы оплаты, которые уменьшают вашу зону воздействия, поддерживайте системы в хорошем состоянии и по возможности избегайте хранения номеров карт, если нет веской причины и если настройка для этого предусмотрена.

Если вы не знаете, с чего начать, на нашей странице ответов мы в простых словах разбираем типичные ИТ- и темы безопасности.

Объем работ может быть простым или более сложным — в зависимости от вашей платежной схемы. Кофейня, использующая автономный платежный терминал, обычно имеет совершенно другой «вес» требований PCI, чем клиника, ритейлер или онлайн-магазин с интегрированными системами.

Бизнес, который перенаправляет клиентов на размещенную (hosted) страницу оплаты, может иметь меньший охват. «Охват» означает людей, устройства, системы и процессы, которые могут повлиять на данные карт. Меньший охват часто означает меньше требований.

А компания, которая вручную вводит данные карт на офисных компьютерах, хранит платежные сведения, работает с сайтом e-commerce или подключает платежные инструменты к другим бизнес-системам, может иметь больший охват. Обычно это означает больше документации, больше контролей и больше постоянного внимания.

Требования также могут различаться в зависимости от отрасли и региона, а также правил ваших платежных партнеров. PCI — это не то же самое, что HIPAA, то есть Закон США о переносимости и подотчетности медицинского страхования (для защиты медицинских данных), или правила PCI, связанные с банковскими комиссиями. Здесь мы говорим о требованиях к безопасности платежных карт.

Хорошая практика PCI обычно начинается с уменьшения сложности. Многие небольшие компании лучше справляются, если используют надежные платежные инструменты, которые по возможности убирают данные карт с ваших собственных компьютеров и сети. Чем меньше ваших систем взаимодействует с данными карт, тем меньше их нужно сопровождать.

Хорошая практика также предполагает базовую ИТ-дисциплину. Держите рабочие устройства в актуальном состоянии. Заменяйте старые роутеры, компьютеры и платежное оборудование, когда на них больше не распространяется поддержка. Используйте надежные уникальные пароли и там, где это доступно, включайте MFA — многофакторную аутентификацию — для платежных и административных учетных записей.

Если сотрудники используют компьютеры, которые могут получать доступ к платежным системам, эти устройства нужно аккуратно администрировать. Это может включать установку патчей — то есть обновлений безопасности и программного обеспечения, антивируса или более продвинутого инструмента обнаружения и реагирования на конечных устройствах, называемого EDR. Также нужны понятные права пользователей. «Конечное устройство» — это любое устройство вроде ноутбука, настольного ПК или телефона, которое подключается к вашим бизнес-системам.

Важна и документация. Понимайте, какой вендор обрабатывает ваши платежи, кто имеет доступ к платежным инструментам, где хранятся чеки и отчеты, и что делать, если что-то выглядит неправильно. Надежный провайдер может также помочь продумать резервные копии. Вы можете слышать фразу «3-2-1 backup» — это означает хранение 3 копий важных данных на 2 разных типах носителей, при этом 1 копия хранится вне площадки (offsite). Само по себе это не делает хранение данных карт «безопасным» автоматически, но это часть здоровой организации бизнес-операций.

MSP, то есть поставщик управляемых ИТ-услуг, может помочь вам понять техническую сторону требований PCI. Это может включать анализ вашей среды, помощь в уменьшении охвата PCI, улучшение управления устройствами, координацию с вашими платежными вендорами и проверку того, что рутинные задачи не остаются без внимания.

Также вы можете встретить термины RMM и vCIO. RMM означает удаленный мониторинг и управление — это ПО, которое многие провайдеры используют, чтобы отслеживать состояние устройств и выполнять обновления на компьютерах в бизнесе. vCIO — виртуальный Chief Information Officer (виртуальный ИТ-директор): это специалист, который помогает с планированием ИТ и приоритетами для компании, где нет полноценного руководителя ИТ на постоянной основе.

Некоторые провайдеры также помогают разобраться с условиями обслуживания. Например, SLA — это соглашение об уровне сервиса. Оно описывает цели реагирования, что входит и что не входит. Это не обещание отсутствия простоев или идеальной безопасности.

NodeBridge IT не является MSP и не управляет, не мониторит, не обеспечивает защиту, не ремонтирует и не имеет доступа к вашим системам. Если вам нужна поддержка, мы можем связать вас с независимым провайдером, который подходит по масштабу, потребностям и географии.

Начните с одного базового вопроса: как сегодня перемещаются данные карт через мой бизнес? Выпишите все места, где клиенты платят, все задействованные устройства и всех вендоров, которые касаются этих платежей. Часто уже одно такое упражнение проясняет многое.

Затем проверьте, что именно ваш платежный процессор или банк просит вас заполнить. Обычно они дают опросник или портал. Если вопросы непонятны, возможно, настало время поговорить с независимым ИТ-провайдером, который понимает реалии малого бизнеса.

Вам не нужно становиться экспертом по безопасности. Но вам нужно четкое представление о вашей платежной схеме, поддерживаемых инструментах и реальной помощи, когда она потребуется. Если хотите, вы можете получить подбор независимого поставщика управляемых ИТ-услуг. Наша услуга подбора бесплатна для компаний, и мы собираем только базовые сведения о бизнесе и контактные данные.