В настоящее время с целью защиты собственных данных и минимизации риска их потери многие организации требуют от своих деловых партнеров соблюдения требований предусмотренных Payment Card Industry Data Security Standard (PCI DSS — здесь подробнее) — стандартом безопасности данных индустрии платёжных карт.
В этой связи один из экспертов в области IVR — директор британской консалтинговой компании Encoded Роберт Кратчингтон дал некоторые пояснения, характеризующие логичность и целесообразность такого рода требований.
Как известно, когда Visa, MasterCard, JBC, Discover и American Express создавали стандарт PCI DSS, они сформулировали 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Однако, как утверждает Кратчингтон, сегодня руководители многих компаний не понимают, что все их сторонние партнеры и вендоры, которые имеют отношении к обработке данных платежных карт также должны соблюдать все требования PCI DSS.
Платежные системы создают собственные списки сторонних вендоров, которые в своей работе уже достигли определенного уровня гарантий защиты данных и демонстрируют приемлемую бизнес-практику. В качестве примера Кратчингтон приводит тот факт, что Visa и большинство крупных платежных провайдеров, таких как британский Elavon, рекомендуют своим клиентам пользоваться услугами только тех компаний, которые входят в упомянутые списки и имеют статус «PCI Compliance».
Это, свою очередь, касается любой компании, имеющей отношение к операциям с платежными картами, системах автоматического банковского обслуживания по телефону (IVR), Internet Payment Gateway, а также другим сервисам и продуктам, т.е. прямо или косвенно задействована в передачи данных. Таким образом, считает британский эксперт, компании, работающие с конечными клиентами просто обязаны понимать не только всю суть процесса, но и то, кто из его участников должен соответствовать требованиям PCI DSS, либо, в противном случае, столкнуться с перспективой постоянных судебных разбирательств и штрафных санкций в случае потери данных о картах своих клиентов.
Платежных провайдеров, предоставляющие услуги торговым организациям, Visa распределяет по двум уровням, для каждого из которых предусмотрена своя процедура аттестации. Для более высокого Level 1 необходимо Свидетельство о соответствии (Attestation of Compliance). Напомним, Level 1 — это организации, которые передают, хранят и обрабатывают более 300000 транзакций Visa в год. Кратчингтон также отметил, что Свидетельство о соответствии и Отчет о соответствии (Compliance report) в обязательном порядке необходимо дополнять также QSA-аудитом. Впрочем, по словам эксперта, высокие стандарты и стоимость услуг QSA-аудиторов нередко приводят к тому, что некоторые вендоры претендуют на сертификат PCI DSS, фактически не завершив процесс сертификации.
От организациям, которые Visa относит к Level 2, не требуется иметь проведение QSA. Такие компании ограничиваются предоставление некоторой информации и себе в соответствии со опросным листом без привлечение QSA-аудиторов. Level 2 — это как правило небольшие платежные провайдеры, совершающие менее 300000 транзакций Visa в год.
В завершение Роберт Кратчингтон напомнил, что сегодня как Visa, так и другие платежные провайдеры ужесточают свою политику в отношении организаций, работающих с платежными картами. Тем не менее, некоторые компании по-прежнему не отдают себе отчет в том, что утерю данных их ждут крупные штрафы. При этом наиболее уязвимыми Кратчингтон считает организации, имеющие свои call-центры, потому таким компаниям эксперт рекомендует работать только с провайдерами Level 1.