Certificarea pentru dss pci nevoie retailer profitabile - deiteriy

Certificarea DSS PCI pentru comercianții cu amănuntul: nevoia de cost-eficiente

Popularitatea plăților prin card în comerțul cu amănuntul în România este în creștere în mod semnificativ. Deși piața este încă foarte departe de Europa și, în special, nivelul american, servicii de salarizare, co-branded și cartele preplătite fac treptat treaba.

standardul PCI DSS prevede ca fiecare organizație să proceseze datele cu carduri de plată, cum ar fi numărul de card, informațiile de pe banda magnetică și codul PIN, să ia anumite măsuri pentru a le proteja de a fi compromisă.

În conformitate cu cerințele PCI DSS se încadrează, în primul rând, aceste tipuri de companii, bănci, de procesare a cardurilor și structura întreprinderilor comerciale și de servicii care acceptă plățile prin card. Astfel, standardul acoperă aproape întreaga sferă de vânzare cu amănuntul. Toate aceste organizații sunt obligate să respecte cerințele standardului și pentru a confirma conformitatea cu aceste cerințe în fiecare an.

Desigur, sistemele de plăți internaționale nu pot impune cerințe de performanță ale standardului de către toate organizațiile dintr-o dată. Prin urmare, au fost elaborate un program special de promovare a standardelor. În prima fază a conformității solicitate de bănci, care, la rândul lor, au fost să ceară același lucru de la ea servește ca parte a achiziționa comercianți.

Realizarea conformitatea cu băncile PCI DSS a avut o perioadă destul de lungă și continuă în România până în prezent. În timp ce numărul de standarde certificate de bănci a fost nesemnificativă, pentru comercianți a existat perioadă destul de liber, atunci când conformitatea formală cere de la ei, dar, de fapt, multe dintre ele nu au fost nici măcar informat despre acest lucru de către băncile lor.

În Occident, această perioadă sa încheiat în urmă cu câțiva ani, iar acum practic privind certificarea PCI DSS este o piață acolo fac întreprinderile de comerț și servicii, inclusiv marile lanțuri de retail medii și mari. Conducătorul auto al acestei creșteri este diferită în diferite țări. In Marea Britanie, de exemplu, băncile reduc în mod semnificativ rata de interes pentru achiziționarea de servicii companiilor care au trecut de certificare. În Finlanda, toate dobânditorii majore necesită respectarea fără a lăsa întreprinderile de comerț cu servicii de alegere. În SUA, piața a fost mult timp dezvoltat, și certificare acolo a pus pe flux.

Cum se obține un certificat

Noțiuni de bază pentru pregătirea pentru certificarea întreprinderilor comerciale și de servicii ar trebui, în primul rând, pentru a decide dacă acesta are nevoie de date de carduri de auto-mâner.

De multe ori, dispozitivul pentru a primi carduri de plată - terminale EFTPOS, - furnizate și menținute prin achiziționarea de structuri bancare sau de prelucrare, și sunt conectate printr-un canal de comunicație criptat prin Internet direct la banca procesată. În acest caz, cu buna organizare a procesului de plată, datele de card nu vor cădea în infrastructura de informații ale întreprinderilor de comerț și de serviciu. În aceste condiții, o instituție de comerciant se aplică doar un număr relativ mic de cerințe standard și de muncă de bază pentru a asigura respectarea suportate de către bancă.

Dar de multe ori se întâmplă că procesul de plată nu este separat în mod corespunzător de infrastructura stoca și datele cardului devine numerar, și hardware-ul de server. Ne-am confruntat în mod repetat cu o situație în care prezența la cititorul furnizat-terminal card bancar de verificare EFTPOS, un proces de afaceri este organizat în așa fel încât cardul este swiped la un cititor proiectat pentru a fi utilizat cu discont construit în numerar se înregistreze în sine. Acest lucru impune companie de comerț și de servicii responsabil pentru eventualele posesorii de carduri scurgerilor de date ale infrastructurii sale de informații.

În unele cazuri, prelucrarea datelor de card în infrastructura de informații ale întreprinderilor de comerț și servicii pot fi justificate obiectivele și specificul afacerii. Dar, atunci este necesar să se verifice această necesitate și să decidă să organizeze securitatea datelor sau încă să transfere această responsabilitate pentru banca achizitoare.

Pentru o soluție cuprinzătoare a problemelor de instruire și certificare pentru companiile de consultanță și audit PCI DSS - QSA-auditori - ofera pachete la cheie. Proiectul standard privind formarea și certificarea este după cum urmează.

În prima etapă consultantul efectuează o examinare preliminară a organizației certificate. Prin sondaj, corespondența infrastructurii de informare a fiecărei cerințe a standardului. Conform rezultatelor raportului este o listă de revendicări dovedite și o indicație a executat și a completat cerințele și o descriere a motivelor relevante.

Pentru toate cerințele neîndeplinite de dezvoltare a unui plan de lucru cu instrucțiuni pentru punerea în aplicare a acestora.

Consultantii sunt, de asemenea, în curs de elaborare pentru reglementările organizației certificate de interne care reglementează procesele de securitate a informațiilor - de la politica de securitate Informații și instrucțiuni de finisare pentru angajați și forme de jurnalele de evenimente.

După aceea, în etapa de punere în aplicare în întreprindere de comerț și de servicii primite de la recomandările și documentele consultant. Aceste sarcini pot fi efectuate atât de către client și o organizație externă, și este din această etapă a vieții întregului proiect depinde cel mai mult.

După introducerea este completă, iar compania este pregătită pentru verificarea conformității, efectuate etapele finale ale proiectului - pentru a scana audit vulnerabilități de infrastructură de informații, teste de penetrare și certificare, rezultatele care societatea a emis certificatul de conformitate PCI DSS.

Auditul de certificare este efectuat numai companii cu statut special - QSA-auditor, eliberat de autoritatea de reglementare industria - Consiliul PCI SSC. Durata de implementare a proiectului se ridică la o medie de 3 până la 12 luni, în funcție de complexitatea infrastructurii informatice certificate.

Ce beneficii va aduce PCI DSS de certificare pentru comercianții cu amănuntul?

Nu uita, de asemenea, pentru a reduce riscurile asociate cu ambele sancțiuni pentru nerespectarea standardului și fraudă cu carduri de plată și perspectiva de a se întoarce aruncate ilegal în favoarea banilor vânzătorului. În timp ce în România cazul activării acestor riscuri este foarte, foarte rar, dar dacă ne amintim că piața noastră de plată urmează calea Occidentului, cu un decalaj de 2-3 ani, importanța acestui factor va continua să crească.

Combinând proiect instituții de certificare comerciant a PCI DSS cu măsuri pentru a crește loialitatea clienților și proiecte comune cu partenerii bancare pot spori eficiența fiecăreia dintre ele.