Подводные камни при сертификации по PCI DSS: CVV и запись телефонных разговоров

Подводные камни при сертификации по PCI DSS: CVV и запись телефонных разговоров

Если вы продаете товары или услуги онлайн и предлагаете своим клиентам расплачиваться банковскими картами — эта статья может вам пригодиться. Любая организация, использующая собственный карточный процессинг, рано или поздно сталкивается с необходимостью сертификации по стандарту PCI DSS. Так вы сможете убедительно продемонстрировать клиентам, что их платежные данные надежно защищаются. Но в череде вполне понятных требований к хранению и удалению информации есть пара малоизвестных подводных камней. Предлагаем обсудить их.

Мы в «ИТ-ГРАД» в свое время озадачились сертификацией для оказания услуги хостинга PCI DSS. Процесс был непростым и открыл нам новые грани непознанного. Стандарт накладывает ряд ограничений как на организацию-заказчика, так и на провайдера. Но все это необходимо было сделать, чтобы облегчить задачу сертификации нашим клиентам. Как вы знаете, облака сейчас активно идут во все сферы жизни, а значит, все больше компаний захотят отказаться от собственного «зоопарка» систем в пользу унифицированного и надежного облачного решения.

Но не будем сейчас впадать в воспоминания «как это было» — лучше взглянем на упомянутые подводные камни. А касаются они записи телефонных разговоров операторов вашего call-центра и хранения лишней информации.

Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council), учрежденным международными платежными системами Visa, MasterCard, American Express, JCB, Discover. Стандарт регламентирует предопределенный перечень требований как к технической, так и к организационной стороне, подразумевая комплексный подход с высокой степенью требовательности к обеспечению безопасности данных платежных карт (ДПК).

«Контролируете качество обслуживания»?

При любой интернет-оплате одним из необходимых компонентов успешного платежа является ввод кода CVV (тот, что с обратной стороны банковской карты). И если вы его периодически запрашиваете по телефону (для телефонного заказа, к примеру), вам стоит знать, что PCI DSS против любого хранения пресловутого CVV. И не важно, когда и как вы используете эту информацию, зачем собираете и насколько надежно шифруете.

И вот тут-то и кроется первый подводный камень: может показаться, что этот код нигде не хранится и просто разово произносится клиентом по телефону. Но вспомним про запись телефонных переговоров, которая обычно хранится довольно продолжительное время для потенциального разбора полетов. Как раз в такие записи и попадают конфиденциальные данные.

Единственным способом борьбы с нарушением является внедрение какого-нибудь процесса, который бы исключал ведение записи при произнесении клиентом заветных трех-четырех цифр. Это могут быть просто инструкции («так делай, а вот так вообще никогда не делай!»), но надежнее решить проблему технически. К примеру, можно отслеживать размещение курсора в электронной форме обращения, которую заполняет сотрудник поддержки. Когда он переходит в поле CVV — запись разговора приостанавливается и возобновляется только после смещения фокуса на что-либо еще.

Чтобы случайно не потерять целый кусок разговора из-за не слишком расторопного оператора, можно возобновлять запись сразу после окончания фразы клиента. Все это вполне реализуемо через API, которые предоставляют сервис-деск-системы и телефония.

Используете опцию повторных покупок?

Согласно постулатам PCI DSS, никакая информация о платежной карте не должна сохраняться после совершения клиентом операции. И тут есть два типа требований: PCI DSS и PA-DSS. PCI DSS предназначен для торговых организаций, принимающих к оплате пластиковые карты. Стандарт разработан так, чтобы обеспечить безопасность карточной информации на уровне продавца. В то же время PA-DSS создан для тех организаций, кто обрабатывает карточные платежи для других торговых организаций.

Тут следует понимать, что с точки зрения PCI DSS большинство торговых организаций, которые принимают к оплате карты, не имеют права каким-либо образом хранить CVV. Как же быть в случаях, когда один и тот же человек хочет повторно совершить покупку? Чтобы не заставлять его вновь вводить номер-дату-имя-код, организуйте обработку данных «пластика» на стороне — у провайдера с сертификатом PA-DSS.

При такой схеме вы напрямую пересылаете информацию о карте тому провайдеру, который вправе (и в состоянии) ее хранить. Взамен вы получаете некий токен (ID), который уникально идентифицирует карту в базе и может использоваться вашей организацией в будущем для повторных платежей.

Как быть, если в планах — переезд в облако?

Если вы рассматриваете SaaS, IaaS или любой другой вариант *aaS, то стоит знать и еще об одном нюансе: сертифицироваться нужно не только вам, но и провайдеру. PCI DSS сертифицированный провайдер — это компания, предоставляющая услугу сертифицированного PCI DSS хостинга и администрирования в соответствии с требованиями стандарта.

Сейчас на рынке облачных услуг все большей популярностью пользуется так называемый хостинг PCI DSS. Эта услуга актуальна для организаций, использующих облачную инфраструктуру для хранения, обработки и передачи данных платежных карт. С середины 2012 года все вовлеченные в этот процесс организации должны соответствовать требованиям стандарта PCI DSS, о чем мы рассказывали в статье Сертификация PCI DSS: часто задаваемые вопросы.

PCI DSS хостинг — услуга, обеспечивающая безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне сертифицированного PCI DSS хостинг-провайдера. Используя такую услугу, организация закрывает значительную часть требований стандарта. Фактически хостинг-провайдер берет на себя выполнение части требований PCI DSS — от физической защиты размещаемых серверов до администрирования операционных систем.

При этом с самой организации снимаются вопросы контроля физического доступа к серверам, видеонаблюдения и размещения сетевых брандмауэров или систем DPI. Одним словом, хостинг PCI DSS позволит вашему бизнесу избежать значительного числа проблем и препятствий на пути к удобному и безопасному клиентскому сервису.

Надеемся, эта информация позволит вам избежать досадных огрехов при разработке новых клиентских сервисов. Кстати, если вы пропустили наши прошлые публикации схожей тематики — рекомендую ознакомиться с большой статьей Сертификация PCI DSS: часто задаваемые вопросы, где освещаются многие спорные и непонятные моменты процесса. И, конечно, материал Облачная услуга «PCI DSS хостинг» — на случай, если вы собираетесь переезжать в облако по всем правилам и канонам.