169

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 151-200

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов PCI DSS и реальная безопасность платежной системы банковских карт 169 цев в России в настоящий момент нет никаких стимулов соответствовать данному Стандарту. Эквайрер же может понести штрафные санкции, если у его торговца произойдет компрометация данных платежных карт, а тор¬ говец окажется несертифицированным. Отсюда следует, что данные рас¬ ходы, вероятнее всего, будет нести именно эквайрер, поэтому эквайрер бу¬ дет крайне заинтересован не показывать платежным системам крупных торговцев путем регистрации их в платежной системе как нескольких бо¬ лее мелких. Для небольших торговцев необходимо проходить ежекварталь¬ ные сканирования сети и заполнять специальный опросный лист, на осно¬ вании которого и делается заключение о соответствии требованиям Стан¬ дарта. По логике данный опросник должен заполнить сам торговец, так как только он знает, как у него организована защита информации. Но поскольку, как уже отмечалось, торговец не заинтересован в прохождении процедур сертификации, а это как минимум выделение человеческих ресурсов, то скорее всего данный опросный лист будет заполнять сам эквайрер. И здесь возникает интересная ситуация. Если эквайрер ответит на все вопросы «как есть», то, во-первых, это займет с его стороны гораздо больше време¬ ни для выяснения истинного положения дел у торговца, а во-вторых, бу¬ дет вероятность того, что торговец не соответствует требованиям Стан¬ дарта. Это, в свою очередь, связано с риском штрафов для эквайрера от платежных систем в случае компрометации данных у торговца и ведет к необходимости приведения сети торговца в соответствие требованиям Стандарта (опять же за счет эквайрера). В случае если эквайрер ответит на вопросы «как надо», то это сэкономит ему существенные ресурсы, а так¬ же ликвидирует риск применения штрафных санкций со стороны пла¬ тежной системы. Таким образом, влияние эквайрера на торговца ограничено: сеть торговца не контролируется эквайрером; сертификация торговца за счет эквайрера приводит к удорожанию эквайринга: дополнительные затраты на сканирование, аудит, сертификацию ПО, увеличивается стоимость транзакции; эквайрер заинтересован понизить уровень торговца для сертификации; существующая схема сертификации тор¬ говцев может привести к недостоверным результатам соответствия Стандарту.