Shop-Script и PCI DSS

Что такое PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) — это стандарт защиты информации о банковских картах, разработанный платежными системами VISA и MasterCard. Это набор правил, которым должен соответствовать любой ресурс (в том числе сайт, интернет-магазин), на котором принимается оплата банковскими картами. Подробнее о стандарте и его требованиях:

http://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
http://ru.wikipedia.org/wiki/PCI_DSS

Сертификация PCI DSS

Требования PCI DSS распространяются на все организации, которые принимают платежи банковскими картами VISA и MasterCard, поэтому, если в вашем интернет-магазине, созданном на основе Shop-Script, вы принимаете такие платежи, внимательно прочтите эту статью — возможно, вам необходимо пройти сертификацию по PCI DSS.

В каких случаях необходима сертификация на соответствие требованиям PCI DSS:

  • Нужно, если на вашем сайте (или ином ресурсе, принадлежащим вашей компании) у покупателя запрашивается информация о банковских картах или каким-то другим образом данные о картах клиентов хранятся, обрабатываются или передаются вашим интернет-сайтом.
  • Не нужно, если через ваш сайт не проходит информация с данными банковских картах клиентов. Например, если для оплаты заказа клиент переходит на сервер платежной системы (т. е. фактически покидает ваш сайт), чтобы ввести данные своей карты. В этом случае именно платежная система обязана пройти сертификацию по правилам PCI DSS, но не ваш сайт.
  • Не нужно, если вы не принимаете платежи банковскими картами на своем сайте.

Если ваша деятельность попадает под сферу действия стандарта PCI DSS и вы решите не проходить сертификацию, к вашей компании могут быть применены санкции в виде денежных штрафов со стороны платежных систем VISA и MasterCard.

Сертификацию проводят аудиторские компании — QSA (Qualified Security Assessors). Список аккредитованных компаний опубликован на сайте стандарта PCI DSS по адресу http://www.pcisecuritystandards.org/qsa_asv/find_one.shtml.

Удовлетворять требованиям PCI DSS не означает автоматически быть сертифицированным. Это необходимое условие, но не достаточное. Процесс сертификации все равно необходимо пройти, если информация о банковских картах хранится, обрабатывается или передается вашим интернет-магазином.

Плагины приема платежей в Shop-Script

Платежные плагины для интеграции с электронными платежными системами (например, WebMoney, Яндекс.Деньги и другими), разработанные Webasyst, не попадают под требования PCI DSS, потому что они предполагают переход покупателя на сайт платежной системы для совершения платежа.

Требование сертификации по правилам PCI DSS может распространяться на ваш интернет-магазин, только если вы используете плагины для приема платежей банковскими картами, при использовании которых покупатель вводит данные своей карты на странице вашего интернет-магазина, а не на сайте платежной системы.

0 комментариев

    Добавить комментарий

    Чтобы добавить комментарий, зарегистрируйтесь или войдите