PCI DSS съответстващ платежен портал: Какво означава за вашия бизнес
PCI DSS (Стандартът за сигурност на данните на индустрията за платежни карти) е глобалната рамка за сигурност, управляваща начина, по който трябва да се обработват данните за карти от всеки субект, обработващ, съхраняващ или предаващ информация за платежни карти. За търговци, избиращи платежен портал, нивото на сертификация по PCI DSS е един от най-важните технически и търговски критерии за избор. Използването на портал, сертифициран по PCI DSS Level 1, значително намалява собственото натоварване на търговеца за съответствие, защитава картодържателите и намалява риска от нарушения на данните, водещи до глоби на схемата. Това ръководство обяснява какво означава съответствие с PCI DSS за портала, нивата на сертификация, какво прави Level 1 портал за вашата програма за съответствие и какво търговците все още трябва да правят независимо.
Какво означава PCI DSS съответствие за платежен портал
PCI DSS е набор от изисквания за сигурност, разработени от основните картови схеми (Visa, Mastercard, Amex, Discover, JCB) чрез Съвета за стандарти за сигурност на PCI. Стандартът се прилага за всеки субект, обработващ, съхраняващ или предаващ данни за картодържателите.
За платежен портал, PCI DSS съответствие означава, че цялата инфраструктура на портала, включваща сървъри, мрежи, приложения и оперативни процедури, отговаря на изискванията за сигурност, определени в текущия PCI DSS стандарт (понастоящем версия 4.0).
Защо е важно за търговците: Портал, несъответстващ на PCI DSS, създава задължение за излагане за всеки търговец, използващ го. Ако данни на картодържатели, обработени чрез портала, бъдат компрометирани, картовите схеми могат да наложат глоби, да изискат повторно издаване на карти за сметка на търговеца и в сериозни случаи да отнемат лицензите за обработка на придобивача.
Непрекъсната сертификация: PCI DSS съответствие не е еднократна сертификация. Порталите от Level 1 преминават годишни оценки на място от Квалифициран оценител на сигурността (QSA) и тримесечни сканирания за уязвимости в мрежата от Одобрен доставчик на сканиране (ASV).
За търговци, използващи специализиран high risk платежен портал, сертификацията по PCI DSS Level 1 на ниво портала е особено важна, тъй като high risk категориите привличат засилено внимание от измамници и регулаторни органи.
Нива на PCI DSS: Level 1 срещу Level 2 срещу Level 3 срещу Level 4
Сертификацията по PCI DSS е степенувана по обем на транзакциите с различни изисквания за валидиране на съответствие за всяко ниво.
Нива на доставчик на услуги:
Доставчиците на услуги Level 1 обработват, съхраняват или предават повече от 300 000 картови транзакции годишно. Те трябва да преминат годишен Доклад за съответствие (RoC), подготвен от Квалифициран оценител на сигурността, плюс тримесечни мрежови сканирания. Това е най-строгото ниво на оценка и нивото, при което е сертифициран RoxPay.
Доставчиците на услуги Level 2 обработват по-малко от 300 000 картови транзакции годишно. Те могат да попълнят годишен Самооценъчен въпросник (SAQ) плюс тримесечни сканирания.
Нива на търговец (за контекст):
Ниво 1 на търговеца: Над шест милиона транзакции Visa или Mastercard годишно. Изисква годишна оценка на място от QSA.
Ниво 2: От един до шест милиона транзакции годишно.
Ниво 3: От 20 000 до един милион ecommerce транзакции.
Ниво 4: По-малко от 20 000 ecommerce транзакции или по-малко от един милион други транзакции.
Какво сигнализира сертификацията Level 1: Портал, сертифициран по PCI DSS Level 1, е преминал най-строгата възможна оценка на сигурността от трета страна. За търговците, това представлява най-високата налична гаранция, че инфраструктурата за обработка, на която разчитат, отговаря на най-високия стандарт за сигурност в индустрията.
Как използването на PCI DSS Level 1 портал намалява натоварването ви за съответствие
Използването на PCI DSS Level 1 портал значително намалява обхвата на вашата собствена програма за PCI DSS съответствие, но степента на намаляване зависи от метода ви за интеграция.
Интеграция на хостванa страница (пълно намаляване на обхвата): Когато използвате хостваната страница за плащане на портала, клиентът ви е пренасочен към домейна на портала за въвеждане на данни за картата. Вашата инфраструктура никога не вижда данни за карти. При този модел се квалифицирате за SAQ A, най-простия самооценъчен въпросник. SAQ A има приблизително 22 изисквания, в сравнение с 300 за SAQ D.
Drop-in UI или iFrame интеграция (почти пълно намаляване на обхвата): Когато порталът предоставя инжектирани чрез JavaScript iFrame елементи за въвеждане на карти в страницата за checkout, данните за картата се обработват в рамките на защитения iFrame на портала. Вашата инфраструктура не обработва необработени данни за карти. Пак се квалифицирате за SAQ A при този модел.
REST API с токенизация (умерено намаляване на обхвата): Когато вашият frontend събира данни за карти и ги изпраща на сървъра ви, за да ги изпрати след това към API на портала, вашият сървър е в обхвата на PCI DSS. Тази интеграция изисква SAQ D или пълна QSA оценка.
Какво означава намаляването на обхвата на практика: SAQ A съответствие е постижимо за повечето малки и средни търговци без специализиран персонал по сигурност или скъпи външни оценки. SAQ D съответствие изисква значителни инвестиции в контроли за сигурност, документация и потенциално ангажиране на QSA.
Какво търговците все още трябва да правят дори с съответстващ портал
Използването на PCI DSS Level 1 сертифициран портал намалява натоварването ви за съответствие, но не елиминира всички задължения по PCI. Търговците остават отговорни за няколко изисквания независимо от нивото на сертификация на портала им.
Попълнете SAQ: Дори при SAQ A (най-простата форма за хоствани/iFrame интеграции), търговците трябва да попълнят и задържат самооценъчния въпросник.
Осигурете слоя на приложението: Вашият уебсайт и приложение са в обхвата на PCI DSS дори при използване на хостван портал, специфично по отношение на предотвратяването на атаки за уеб скимиране. PCI DSS 4.0 въведе специфични изисквания относно защитата на страниците за плащане от инжектиране на скриптове от страна на клиента.
Защитете API идентификационните данни: Вашите API ключове и тайни за подписване на уебхукове трябва да се съхраняват сигурно, да се ротират редовно и никога да не се излагат в клиентски код или контрол на версии.
Поддържайте хигиена на системата: Сървъри, приложения и инфраструктура, съставляващи вашата платежна среда, трябва да се поддържат с кръпки и сигурност.
Не съхранявайте забранени данни: Дори при използване на хостван портал, не трябва да запазвате пълни номера на карти, CVV или данни от магнитна лента в която и да е система, контролирана от вас.
PCI DSS Level 1 сертификация на RoxPay и какво покрива
RoxPay притежава PCI DSS Level 1 сертификация с номер на сертификата QS83A47X629. Тази сертификация се поддържа чрез годишни оценки на място от Квалифициран оценител на сигурността и тримесечни мрежови сканирания от Одобрен доставчик на сканиране.
Какво покрива сертификацията: Цялата инфраструктура за обработка на плащания на RoxPay, включваща трезори за данни за карти, сървъри за обработка на транзакции, мрежова инфраструктура, API крайни точки и оперативни процедури.
Какво означава това за търговците: Търговците, използващи хостваната касова система или drop-in UI интеграцията на RoxPay, могат да се квалифицират за SAQ A, минималното изискване за валидиране на съответствие за търговци, които не обработват директно данни за карти.
ISO 27001 сертификация: В допълнение към PCI DSS Level 1, RoxPay притежава ISO 27001 сертификация, обхващаща системата за управление на информационната сигурност в широк план.
OAM регистрация: RoxPay е регистриран в италианския OAM (Organismo Agenti e Mediatori), потвърждавайки статута му като регулиран платежен оператор в Италия.
За да стартирате вашето RoxPay заявление и да получите достъп до sandbox средата за тестване на интеграция, съответстваща на PCI, попълнете цифровия регистрационен формуляр. Sandbox идентификационните данни са налични незабавно при регистрация. Пълната документация на API, включваща насоки за интеграция на сигурност, е на app.roxpay.eu/api/v4/docs.
RoxPay обработва над 500 милиона евро годишен обем в 120 платежни системи с SLA за работно време от 99,9%. IC++ ценообразуване от 0,45%, сетълмент към всяка SEPA банка за 24-48 часа.
Често задавани въпроси
Каква е разликата между PCI DSS Level 1 и Level 2?
За доставчиците на услуги (платежни портали), Level 1 изисква годишна оценка на място от Квалифициран оценител на сигурността, произвеждаща официален Доклад за съответствие. Level 2 позволява самостоятелно попълване на Самооценъчен въпросник. Level 1 е по-строг и осигурява на търговците по-голяма сигурност, тъй като независим експерт по сигурността физически е прегледал и сертифицирал цялата среда за обработка.
Трябва ли да съм в съответствие с PCI DSS, ако използвам хостваната касова система на RoxPay?
Да, но задължението ви за съответствие е минимално. Използването на хостваната касова система или drop-in UI на RoxPay означава, че се квалифицирате за SAQ A, което включва попълване на кратък самооценъчен въпросник от приблизително 22 изисквания, плюс тримесечни мрежови сканирания от Одобрен доставчик на сканиране. Не ви е необходима QSA одитация или пълна оценка SAQ D.
Какво е PCI DSS 4.0 и засяга ли търговците, използващи хоствани касови системи?
PCI DSS версия 4.0 беше публикувана през 2022 г. и стана ефективен стандарт през 2024 г. За търговците, използващи хоствани касови системи, най-важното ново изискване в v4.0 е необходимостта от поддържане на инвентар на скриптове и мониторинг на целостта за всички скриптове, работещи на страниците ви за плащане (за предотвратяване на уеб скимиране). Това се прилага дори при SAQ A. Документацията за интеграция на RoxPay включва насоки за изпълнение на това изискване.
Може да ви хареса и
Платежен гейтуей за висок риск
Сигурна обработка на плащания за рискови индустрии с мулти-acquirer маршрутизация и защита от chargeback.
Платежни решения за малки бизнеси
Прозрачно IC++ ценообразуване, безплатен Smart POS терминал и активиране за 24 ч. за малки бизнеси
Интеграции за електронна търговия
Плъгини с един клик за Shopify, WooCommerce, Magento и PrestaShop с пълен API достъп.
Оптимизирайте плащанията си днес
RoxPay е сертифициран по PCI DSS Level 1 (QS83A47X629) и ISO 27001. Търговците, използващи хостваната касова система, се квалифицират за SAQ A съответствие. IC++ от 0,45%, сетълмент към всяка SEPA банка за 24-48 часа.
✓ No monthly fixed costs · ✓ Activation in 24 hours · ✓ Dedicated technical support
