Продвинутый прием пластика на сайте, или разбор полетов PCI DSS

В связи с запуском нашего нового детища — интернет-эквайринга WebCreds Checkout встала необходимость разобраться с дальнейщим планом разработки.

webcredsА этот план у нас включал в себя простую вещь: если ты хочешь работать с различными партнерами по безопасности, или же по разным валютам, то необходимо вводить данные о карточке у нас на сайте. А уже потом мы со своим фрод-процессингом будем разбираться пропускать дальше транзакцию, или нет. Заодно это бы позволило нам предлагать recurring bills — автоматические платежи(например ежемесячная абонентская плата).

Почему эта тема еще интересна для нас с Вами? Если Вы владелец интернет-магазина, или большого портала, или отвечаете за конверсию посетителей, то при оплате Вы передаете плательщика на страницу платежной системы, в другой дизайн и среду, с уродскими в основном формами. Это плохо влияет на конверсию и так несчастного пользователя. Увидев все, что происходит на платежной странице, пользователь часто не заканчивает платеж, потому что только что был на странице магазина, и уже был готов заплатить, а оказался непонятно где. Второе предназначение — это возможность выбора поставщика процессиновых услуг в зависимости от конекста, но с одной платежной страницей у Вас на сайте.

Пример: В номере карты закодирована страна эмитирования карты, по нему мы можем понять в процессинг какой страны нам лучше переслать данную транзакцию, что бы более уверенно бороться с мошенническими операциями. Ну и таких возможных применений много.
Disclaimer! Я с большим уважением отношусь к международным платежным системам, их требованиям к безопасности и их партнерам, очень хорошо понимаю, почему их требования таковы, а так же коммерческий интерес всех участников рынка сертификации.

Итак, что я узнал за две недели по этому поводу:

1)Что бы вводить данные банковской карты у себя на сайте, Ваша информационная система должна соответствовать требованиям стандарта PCI DSS. Русский сайт посвященный этому делу — http://www.pcidss.ru/

2) Для получения сертификата соответствия стандарту наблюдательным советом международных платежных систем в каждой стране назначаются QSA- аудиторы. Их списки публикуются, в России несколько таких компаний(http://www.dsec.ru/, http://www.infosec.ru/ — самые известные, но есть и другие ). Так как в стране всего несколько организаций сертифицированы по этому стандарту хлеба у них мало, и они занимаются не только аудитом, но и консалтингом в этой области, а так же аудитом в области безопасности приложений вообще, потому что с первого раза пройти сам аудит почти невозможно(говорю Вам как человек, у которого на предыдущем месте работы IT Security аудит был каждый год)

3)Для маленьких мерчантов до 30 тысяч операций по карточкам в год предусмотрен упрощенный аудит-антивирусное сканирование хоста и внешнее сканирование на уязвимости. Конечно 82 операции по карточкам в день — 800 покупок в день в среднем это совсем немало:)) Но кто же будет спорить с американцами! Если у Вас больше 30 000 операций по карточкам в год, то надо идти под скальпель аудиторов.

4)Интерес аудиторов- начать Вас консультировать, поэтому они будут искать зацепки, что бы Вам уменьшить общий бал, пока Вы не пригласите их помогать Вам в построении гениальной системы защиты данных плательщиков. Но умные делают не так. Умные приглашают одного аудитора консультировать на время разработки, изменения системы и подготовки к аудиту, а второго непосредственно на аудит. Потом Вы их запираете в кабинете для совещаний и они там дерутся друг с другом. Таким образом вы потратив много денег самым верным достаточно быстрым образом получите сертификат соответствия стандарту.

5) По результатам аудита аудитор посылает в платежные системы RoC — отчет о соответствии. В этом отчете написано на сколько процентов Вы соответствуете каждой главе требований стандарта, и какие у Вас меры приняты для снижения и контроля риска в случае неполного соответсвия для каждого Key Control. Платежные системы смотрят на отчет и радостно говорят Вам все ли их устраивает. Если все окей, то Вам присылают красивую картинку с Сертификатом, который выглядит например вот так, как у наших коллег.

6)Все кто знаком с аудитом информационной безопасности по стандарту BS7799 или ISO-17799 примерно понимают, что их ждет. В файле стандарта Вас ждет краткое вступление, и далее по тексту Key Controls. Это все выглядит как табличка, в которой написано требование, краткое разъяснение, далее поле для отметки о соответствии инспектируемой системы, далее комментарии аудитора.

7)Аудитор прибыв на объект проходит по всем главам, а их там 12. И напротив каждого Key Control ставит галочку. После аудита он показывает Вам эту форму, и готовит отчет. В отчете обычно написано, что все очень плохо, или просто плохо. Никаких рекомендаций по устранению недочетов и тд, Вам естесственно не дают, они уже за отдельные денежки.

8)Собственно, сам аудит не столь дорог, как дорого реализация требований(конечно аудит тоже не копейки стоит, для левела 2 сумма будет не менее 1 500 000 рублей). Поэтому у нас возникла идея- а почему бы просто не забить на дорогие игрушки? Т.е. сертфицироваться будем, но очень аккуратно, например реккурент билз сделать получится дороже чем вообще работать:) Это можно отбить только работая на рынке adult активно, а это не наш профиль. А чем меньше хранишь и обрабатываешь инфы, и чем меньше функционал, тем дешевле и реализация требований стандарта, и собственно аудит, потому что аудировать все меньше и меньше.

9)Очень интересные презентации по этому поводу Вы можете посмотреть по следующим ссылкам:

FAQ

Про тест на проникновение

Некоторые аспекты требования стандарта

Опыт достижения требований стандарта одного из грандов российского процессинга

Думаю с текстом стандарта Вы разберетесь сами. Дело это очень нужное для российского е-коммерса, и чем больше у нас народа будет про это знать, тем лучше.