Сертификация с PCI DSS за печеливши търговец на дребно нужда - deiteriy

Сертификация PCI DSS за търговците на дребно: необходимостта от рентабилен

Популярността на плащания с карти в търговията на дребно в България се разраства значително. Въпреки, че пазарът все още е много далеч от Европа и, по-специално, американският ниво, ТРЗ услуги, ко-брандирана и предплатени карти постепенно си вършат работата.

PCI DSS стандарт изисква всяка организация за обработка на данни с разплащателни карти, като например номера на картата, информацията на магнитната лента и ПИН-кода, за да се предприемат определени мерки, за да ги предпази от компрометиране.

Съгласно изискванията на PCI DSS падне, на първо място, тези видове дружества, банки, обработка на карти и структурата на търговията и услугите предприятия, приемащи плащания с карти. По този начин, стандарт обхваща почти цялата търговия на дребно сфера. Всички тези организации са длъжни да се съобразят с изискванията на стандарта и да се потвърди тяхното съответствие с тези изисквания, всяка година.

Разбира се, международните платежни системи не могат да изискват изисквания за изпълнение на стандарта, като всички организации наведнъж. Ето защо, на специална програма за насърчаване на стандарти са разработени. В първата фаза на съответствието, изисквани от банки, които, от своя страна, са били също ще изисквате от него служи като част от придобиването на търговци.

Постигане на съответствие с PCI DSS банки отне доста дълъг период от време и продължава досега в България. Докато броят на сертифицираните стандарти на банките е бил незначителен, за търговци съществувала доста свободен период, когато е необходимо формалното съответствие на тях, но в действителност много от тях дори не са били уведомени за това от техните банки.

На Запад, този период е изтекъл преди няколко години, а сега основно за сертифициране PCI DSS е пазар там правят търговски и обслужващи предприятия, включително средни и големи търговски вериги. Шофьорът на този растеж е различен в различните страни. Във Великобритания, например, банките значително да намали лихвения процент за придобиване на услуги на фирми, които са преминали сертифициране. Във Финландия, всички основни купувачи изискват спазване, без да оставя търговията на услуги предприятия избор. В САЩ, на пазара отдавна е разработен и сертифициране там сложи поток.

Как да получите сертификат

Как да стигнем до подготовката за сертифицирането на търговски и обслужващи предприятия трябва, на първо място, за да реши дали той има нужда от данни се самообслужват карти.

Често, устройството за получаване на разплащателни карти - EFTPOS терминали, - предоставени и поддържани чрез придобиване на банкови или за обработка на структури и са свързани чрез криптиран канал за комуникация през интернет директно към банката обработва. В този случай, с добра организация на процеса на плащане, данните за картата, няма да попадат в информационната инфраструктура на търговията и услугите предприятия. При такива условия, търговец на институция прилага само относително малък брой стандартни изисквания и основната работа, за да се гарантира спазването поемат от банката.

Но често се случва, че процесът на плащане не е отделена правилно от инфраструктурата за съхранение и данни карта получава пари в брой си и сървърно оборудване. Многократно сме изправени пред ситуация, в която присъствието на четеца на касата EFTPOS терминал-условие банкова карта, бизнес процес е организиран по такъв начин, че картата е замахна към читателя, предназначени за използване с карти за намаление и вградени в пари в брой се регистрира. Това налага на търговията и услугите на фирмата, отговорна за евентуални течове данни картодържатели на своята информационна инфраструктура.

В някои случаи, при обработването на данни от картата, в информационната инфраструктура на търговията и услугите предприятия могат да бъдат обосновани цели и спецификата на бизнеса. Но след това, че е необходимо да се провери тази нужда и да реши да организира на сигурността на данните, или все още да се премине тази отговорност към придобиване на банка.

За цялостно решение на проблемите, свързани с обучение и сертифициране за PCI DSS консултантски и одиторски предприятия - QSA одитори - предлагат до ключ пакети. Standard проект за обучение и сертифициране е както следва.

В първата фаза на консултанта извършва предварителна проверка на сертифицираните организации. Чрез изследването, кореспонденцията на информационната инфраструктура на всяко изискване на стандарта. Според резултатите от доклада е даден списък с доказани претенции и посочване на екзекутираните и завърши изисквания и описание на мотивите за взетото решение.

За всички неизпълнени изисквания на разработване на план за работа с указания за тяхното прилагане.

Консултанти Разработват се и за вътрешни правила на сертифицираната организация, регулиращи процесите на сигурността на информацията - от политиката за информационна сигурност и довършителни инструкции за служителите и форми на записите на събитията.

След това, на етапа на изпълнение в предприятието в търговията и услугите, получени от препоръките на консултантски и документи. Тези задачи могат да се извършват както от страна на клиента и на външна организация, и то е от този етап от живота на целия проект, зависи най-много.

След въвеждането е пълна, и компанията е готова за проверка на съответствието, извършва крайните етапи на проекта - за сканиране на одит на информационната инфраструктура уязвимости, проникване тестване и сертифициране, резултатите от които фирмата издава сертификатът за PCI DSS спазване.

сертификационния одит се извършва само фирми с особен статут - QSA-одитор, издаден от регулатора индустрия - PCI КНК на Съвета. Срок на изпълнение на проекта възлиза на средно от 3 до 12 месеца, в зависимост от сложността на сертифицирани информационната инфраструктура.

Какви ползи ще донесе PCI DSS сертифициране за търговците на дребно?

Не забравяйте също така за намаляване на рисковете, свързани с двете наказания за стандарт неспазване и измами с разплащателни карти и перспективата за връщане на незаконно изхвърлени в полза на парите от продавача. Докато в България случай на активиране на тези рискове е много, много рядко, но ако си спомним, че на нашия пазар плащане следва пътя на Запада със закъснение от 2-3 години, значението на този фактор ще продължи да расте.

Комбинирането на проект за сертифициране търговец институция на PCI DSS с мерки за увеличаване на лоялността на клиентите и съвместни проекти с банкови партньори могат да подобрят ефективността на всеки един от тях.