Стандарт PCI DSS определяет основные требования по обеспечению информационной безопасности и распространяется на все системы, вовлеченные в процессы передачи, хранения или обработки данных держателей карт (card holders) платежных систем. Согласно требованиям индустрии платежных карт, все платежные системы обязаны проходить ежегодный PCI DSS аудит (PCI audit). В том случае, если система не использует программное обеспечение (payment software), которое обеспечивает хранение данных в незашифрованном формате, правила индустрии платежных карт PCI DSS на эту систему не распространяются.
Следует сказать, что все коммерческие организации, занимающиеся обработкой платежей (банки, мерчанты, процессоры) ищут способы упростить процесс соответствия PCI DSS. Существует несколько обстоятельств, которые могут повлиять на значительное упрощение соответствия нормам PCI DSS (PCI compliance).
Если компания намерена выйти из периметра соответствия PCI (PCI scope) полностью или планирует снизить расходы на аудит, ей понадобится преодолеть несколько важных этапов. Для начала нужно определиться, какие виды платежей она собирается обрабатывать : платежи с участием карты или без (card-not-present, CNP), автоматические платежи (recurring payments), возвратные платежи (chargeback) и т.д. Компания также обязана проанализировать внешние системы, к которым она подключена, все используемые приложения и решения для обработки, которыми руководствуются продавцы (merchants). После обработки всей информации, представители компании имеют право обсудить с аудитором PCI (PCI auditor) свои новые решения и наиболее важные вопросы, такие как : хранение конфиденциальных данных карт (card storage), управление потоком данных с карты (card flow), интеграция с процессорами и поставщиками услуг (PSP), перемещение данных владельцев карт и др.
Если Вас интересует возможность снизить расходы на аудит PCI и значительно упростить процесс соответствия PCI DSS, посетите официальный сайт #UniPayGateway .
Комментариев нет:
Отправить комментарий