Вход для клиентовВход для клиентов О компании

Помощь » База знаний » Shop-Script » Прием платежей »

PCI DSS и Shop-Script

Что такое PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) — это стандарт защиты информации о банковских картах, разработанный платежными системами VISA и MasterCard. Фактически это набор правил, которым должен соответствовать любой ресурс (в том числе сайт, интернет-магазин), на котором принимается оплата банковскими картами. Подробнее о стандарте и требованиях:

http://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
http://ru.wikipedia.org/wiki/PCI_DSS

Сертификация PCI DSS

Требования PCI DSS распространяются на все компании, которые принимают платежи банковскими картами VISA и MasterCard, поэтому, если в вашем интернет-магазине, созданном на основе Shop-Script, вы принимаете такие платежи, внимательно прочтите эту статью — возможно, вам необходимо пройти сертификацию по PCI DSS.

В каких случаях необходима сертификация на соответствие требованиям PCI DSS:

  • Нужно, если на вашем сайте (или ином ресурсе, принадлежащим вашей компании) у покупателя запрашивается информация о банковских картах или каким-то другим образом данные о картах клиентов хранятся, обрабатываются или передаются вашим интернет-сайтом.
  • Не нужно, если через ваш сайт не проходит информация с данными банковских картах клиентов. Например, если для оплаты заказа клиент переходит на сервер платежной системы (т. е. фактически покидает ваш сайт), чтобы ввести данные своей карты. В этом случае именно платежная система обязана пройти сертификацию по правилам PCI DSS, но не ваш сайт.
  • Не нужно, если вы не принимаете платежи банковскими картами на своем сайте.

Если ваша деятельность попадает под сферу действия стандарта PCI DSS и вы решите не проходить сертификацию, к вашей компании могут быть применены санкции в виде денежных штрафов со стороны платежных систем VISA и MasterCard.

Сертификацию проводят аудиторские компании — QSA (Qualified Security Assessors). Список аккредитованных компаний опубликован на сайте стандарта PCI DSS по адресу http://www.pcisecuritystandards.org/qsa_asv/find_one.shtml.

Удовлетворять требованиям PCI DSS не означает автоматически быть сертифицированным. Это необходимое условие, но не достаточное. Процесс сертификации все равно необходимо пройти, если информация о банковских картах хранится, обрабатывается или передается вашим интернет-магазином.

Модули приема платежей в Shop-Script

Платежные модули интеграции с электронными платежными системами (например, WebMoney, Яндекс.Деньги и другими) не попадают под требования PCI DSS. Стандарт PCI DSS применяется только к платежам банковскими картами, поэтому сертификация необходима, только если вы принимаете оплату на сайте таким способом.

По принципу работы все модули приема платежей банковскими картами в Shop-Script можно разделить на два типа — в зависимости от того, какого рода API предоставляет соответствующая платежная система:

  1. Модули, при использовании которых информация о банковской карте покупателя запрашивается на специальной странице сайта платежной системы, а не в вашем интернет-магазине. Использование таких модулей не требует сертификации по правилам PCI DSS, потому что потенциально уязвимая информация о банковских картах (номер карты, имя владельца и прочее) вводится покупателем не на вашем сайте, а на сайте платежной системы. Необходимость сертификации в этом случае ложится на платежную систему. Для простоты назовем эти модули «безопасными».
  2. Модули, при использовании которых информация о банковской карте вводится покупателем во время оформления заказа на странице вашего интернет-магазина. В таком случае потенциально уязвимая информация проходит через ваш сайт, а также сохраняется в базе данных магазина (это справедливо только для некоторых модулей, например, для модуля ручной обработки кредитных карт). Для простоты назовем эти модули «опасными».

Требование сертификации распространяется на ваш интернет-магазин, только если вы используете «опасные» модули приема платежей банковскими картами.

Мы рекомендуем вам рассмотреть возможность использования только «безопасных» модулей, чтобы избежать необходимости проходить сертификацию. Если это невозможно, то вашей компании необходимо пройти сертификацию по правилам PCI DSS, чтобы избежать штрафных санкций со стороны платежных систем.

С 15 октября 2010 в дистрибутиве скриптов и в веб-сервисе Shop-Script содержатся только «безопасные» модули, а все «опасные» модули доступны для загрузки по отдельности на странице http://old.webasyst.ru/shop/features/integrations.html.