PCI DSS комплаєнс
PCI DSS (Payment Card Industry Data Security Standard) — це загальний стандарт безпеки в індустрії платіжних карток. Перевірку на відповідність цьому сертифікату мають проходити усі організації, які зберігають, обробляють та передають дані платіжних карток або іншу конфіденційну інформацію, пов'язану з автентифікацією клієнтів/платежів.
Отже, якщо ви збираєтеся працювати за direct-інтеграцією, тобто використовувати свою платіжну сторінку і самостійно збирати карткові дані платників, у вас має бути сертифікат PCI DSS Level 1 (незалежно від кількості транзакцій).
Документи для підтвердження відповідності вимогам стандарту:
Атестат відповідності (Attestation of Compliance, AoC) для Level 1, проведений не раніше, ніж 9 місяців тому (має проводитись щорічно). На підставі цього документи визначається:
- На якому рівні було оцінено стандарти безпеки при роботі з платіжними даними (самооцінка чи офіційне оцінювання Level 1 із підтвердженням третьої сторони).
- Які конкретні вимоги та підвимоги засвідчуються як такі, що відповідають стандарту (або не відповідають).
- Дата, коли було проведено останню оцінку.
Звіт сканування вразливостей (ASV), проведений не раніше, ніж 90 днів тому. ASV сканування – це унікальна та досконала автоматизована перевірка всіх точок підключення інформаційної інфраструктури до інтернету на наявні вразливості. Має проводитись щоквартально.
Сертифікат (опційно).
Зазначені документи повинні бути передані нашому відділу комплаєнсу через Службу підтримки Tranzzo до моменту активації робочого проєкту та початку прийому платежів.