Содержание
Банковской картой
Как происходит онлайн-оплата картой
Оплата производится через процессинговый центр ПАО «Сбербанк»* или Best2Pay с использованием банковских карт следующих платёжных систем:
Чтобы оплатить заказ картой на сайте, во время оформления заказа выберите способ «Онлайн картой». После чего вы попадёте на страницу (платёжный шлюз) ПАО «Сбербанк». На этой странице вы указываете реквизиты карты*.
Сервис проверяет данные карты и обращается в ваш банк. После чего откроется страница подтверждения оплаты банка, выпустившего карту, которой вы оплачиваете заказ. Проверьте данные, сумму списания и введите пин-код из смс или пуш-уведомления.
Обратите внимание: компания Сима-ленд не может списать средства с вашей карты, пока вы не ввели пин-код на странице подтверждения оплаты вашего банка.
После подтверждения оплаты ваш банк резервирует на вашей карте ту сумму, которая была указана на странице подтверждения оплаты.
После оплаты заказ попадает в обработку, мы проверяем наличие товаров на складе и запрашиваем у вашего банка списание необходимой суммы.
Обратите внимание: сумма после обработки заказа может быть равна или меньше той суммы, что зарезервирована на карте. Она не может быть больше.
В личном кабинете некоторых банков может отображаться двойное списание, но по факту сумма списывается 1 раз. Если у вас есть сомнения по списаниям, обратитесь в поддержку вашего банка. Мы никогда не снимаем больше средств, чем сумма на странице подтверждения оплаты.
При оплате в безналичном порядке обязанность покупателя по оплате считается исполненной с момента зачисления соответствующих денежных средств на расчётный счёт продавца.
Продавец имеет право потребовать у покупателя копию документа, удостоверяющего личность держателя карты, и отсканированную копию самой карты.
Кассовый чек направляется на адрес электронной почты, предоставленный покупателем до момента расчета и в печатной форме не предоставляется. Обязанность по передаче кассового чека считается исполненной в момент направления его на адрес электронной почты.
Возврат средств на карту
Если после обработки заказа стоимость товаров оказалась меньше той суммы, которую вы видели на странице подтверждения оплаты — разница вернётся на карту. Это может занять от 1 до 10 дней в зависимости от вашего банка. Данный процесс зависит только от вашего банка.
Если вы оформляли возврат средств через Личный кабинет сайта или приложения, он осуществляется на банковскую карту, с которой производилась оплата. Это может занять от 1 до 10 дней в зависимости от вашего банка.
Обратите внимание: в вашем личном кабинете банка может не быть отдельной операции по возврату средств. Некоторые банки просто меняют сумму операции оплаты заказа. Когда средства вернутся, сумма на счёте увеличится. Рекомендуем проверять выписки по счёту из банка.
* Соединение с платёжным шлюзом и передача информации осуществляется в защищённом режиме с использованием протокола шифрования SSL. В случае если Ваш банк поддерживает технологию безопасного проведения интернет-платежей Verified By Visa, MasterCard SecureCode, MIR Accept, J-Secure, для проведения платежа также может потребоваться ввод специального пароля.
Настоящий сайт поддерживает 256-битное шифрование. Конфиденциальность сообщаемой персональной информации обеспечивается ПАО СБЕРБАНК. Введённая информация не будет предоставлена третьим лицам за исключением случаев, предусмотренных законодательством РФ. Проведение платежей по банковским картам осуществляется в строгом соответствии с требованиями платёжных систем МИР, Visa Int., MasterCard Europe Sprl, JCB.
Привычка – оплаты в интернете
Skip to Content
#полезныепривычки: покупать товары онлайн с банковской картой
Выбирая онлайн-шопинг, вы получаете доступ к большому ассортименту товаров в интернете и сохраняете бесценное время для себя. Платите за покупки онлайн банковской картой и будьте уверены в защищенности платежей.
Покупать онлайн можно с помощью устройств, подключенных к сети интернет: смартфона, планшета или компьютера. Перед первой покупкой проверьте, подключена ли на вашей карте возможность рассчитываться онлайн, и установите лимит для оплаты в интернете.
Пять преимуществ онлайн-шопинга
- Удобство и доступность. Покупать в интернете можно 24/7 практически из любой точки мира.
- Экономия времени. Для онлайн-шопинга не нужно выходить из дому и тратить время на поход в магазин, а товар вам могут доставить прямо к двери.
- Экономия денег. В интернете есть возможность быстро сравнить цены на тот же товар в разных магазинах и выбрать нужный по лучшей цене.
- Широкий ассортимент. Всего за пару минут вы можете посетить сразу несколько онлайн-магазинов — как молдавских, так и зарубежных, и выбрать нужный товар высокого качества.
- Отзывы покупателей. Вы можете прочитать отзывы покупателей об интернет-магазине и выбранном товаре. Это поможет вам сделать правильный выбор.
Способы оплаты картой в интернете
Способ 1-й. Оплата через однократное введение данных платежной карты.
Вы нашли товар, добавили его в корзину и выбрали пункт «Оплатить картой». Что дальше?
- Введите вручную в специальные поля данные своей карты: номер, срок действия и код CVC2 (специальный код на обратной стороне карты). Некоторые онлайн-магазины могут также просить ввести имя и фамилию держателя карты.
- Подтвердите оплату с помощью*:
* Метод подтверждения оплаты онлайн зависит от банка, выпустившего вашу карту.
Способ 2-й. Оплата с сохраненной на сайте или в мобильном приложении платежной карты.
Если вы часто покупаете товары или услуги в одном месте, для удобства можете хранить там данные вашей платежной карты или карт. Это избавит вас от необходимости каждый раз при оплате вводить полные реквизиты карты (номер, срок действия и код CVC2). Для оплаты товара через сохраненную на сайте или в мобильном приложении платежную карту вам нужно выбрать карту и при необходимости подтвердить операцию.
Как защищена оплата картой в интернете
Для защиты оплаты в интернете используется протокол 3D Secure. Когда вы оплачиваете покупки онлайн, вас просят ввести реквизиты вашей карты (номер, срок действия, код CVC2, иногда имя и фамилию). Эти данные содержатся непосредственно на карте, и предполагается, что они есть только у вас. Но что делать, если вы потеряли карту, и она попала в руки мошенников? Для повышения безопасности оплаты онлайн 3D Secure добавляет еще один шаг между вводом данных карты и фактической оплатой — проверку пользователя банком, выпустившим карту. Для этого используется одноразовый пароль, который банк посылает в СМС-сообщении и который нужно ввести на сайте, или же подтверждение с помощью биометрии в мобильном банкинге. Таким образом, банк может убедиться, что карту используете именно вы, а не кто-то другой.
Для защиты онлайн-платежей картой Mastercard на основе протокола 3D Secure была разработана технология Mastercard SecureCode.
Для подтверждения покупки по карте Mastercard надо было вводить одноразовый код.
Компания Mastercard усовершенствовала эту технологию, и сейчас она называется Mastercard Identity Check. Поскольку все больше онлайн-покупок осуществляется с мобильного телефона, технология Mastercard Identity Check максимально адаптирована для мобильной среды. Благодаря Mastercard Identity Check банк может убедиться, что именно вы производите оплату в интернете, с помощью биометрии (сканирования отпечатка пальца, Face ID и т. д.) через мобильное приложение банка. Для подтверждения покупки не надо вводить цифровой код из СМС. Ведь когда вы входите в мобильное приложение, например по отпечатку пальца, банк уверен, что это действительно ваша карта и именно вы производите оплату. Кроме того, банк может проверить, с какого устройства осуществлен вход и где именно в этот момент находится устройство (его геолокацию), чтобы еще раз убедиться, что оплату производите именно вы.
Как покупать онлайн безопасно: простые правила онлайн-шопинга
- Внимательно изучите, что означают данные вашей карты, и никому никогда не сообщайте ее полные реквизиты: номер, срок действия и код CVC2 (защитный трехзначный код на обратной стороне карты), а также какие-либо коды из СМС-сообщений.
Читать подробнее о безопасности безналичных платежей. - Покупая в интернет-магазинах, выбирайте оплата на сертифицированных страницах банков-эквайеров или известных платежных интеграторов. Так вы будете на 100% уверены в защищенности платежа.
- Для онлайн-шопинга и онлайн-банкинга используйте личные устройства — компьютер, телефон или планшет. Обязательно установите пароли на всех ваших устройствах.
- Убедитесь, что к вашей карте подключен 3D Secure, то есть дополнительный этап подтверждения оплаты посредством введения одноразового пароля или биометрии. Сделать это можно, позвонив в службу поддержки вашего банка.
- Установите лимит на интернет-оплату и корректируйте его при необходимости. Для этого свяжитесь с оператором своего банка или найдите соответствующий пункт в меню онлайн-банкинга. Платежи, превышающие установленный лимит, ваш банк будет отклонять.
- Различайте перевод с карты на карту и платежную операцию. Платежная операция осуществляется, например, через сертифицированные платежные сервисы и позволяет при необходимости вернуть средства, обжаловать операцию и тд. Перевод с карты на карту — это не платежная операция, а добровольный перевод средств. При необходимости вы сможете вернуть средства на карту только в том случае, если на это согласится получатель-продавец.
- Если же опции оплаты через платежный сервис нет, оплачивайте товар после его получения или с помощью услуги наложенного платежа.
- Если вы заметили подозрительную активность по вашей карте, вам поступают СМС с одноразовыми паролями, но вы ничего не покупали, немедленно обратитесь в банк и заблокируйте карту.
- Включите СМС-информирование и/или следите за состоянием вашего счета с помощью онлайн-банкинга. Так вы сможете вовремя заметить подозрительные транзакции и заблокировать карту.
Читать подробнее о безопасности безналичных платежей.
Перевод с карты на карту — это не платежная операция, а добровольный перевод средств. При необходимости вы сможете вернуть средства на карту только в том случае, если на это согласится получатель-продавец.Как выбрать безопасный онлайн-магазин
- Внимательно проверяйте адреса сайтов, на которых вы вводите данные карт. Они должны начинаться с «https://». Защищенность сайта также подтверждает замочек в адресной строке. Не открывайте подозрительные ссылки из СМС-сообщений, электронных рассылок и уведомлений в мессенджерах. Мошенники часто создают поддельные сайты, где активна только главная и платежная страницы, и таким образом собирают данные вашей карты для дальнейших мошеннических операций.
- Требование срочной частичной оплаты или 100-процентной предоплаты может свидетельствовать об опасности. Мошенники специально манипулируют вашими эмоциями и побуждают к импульсивным и спонтанным покупкам.
- Внимательно читайте отзывы о товаре и онлайн-магазине. Если их нет или они слишком эмоциональны («Эта покупка изменила мою жизнь!»), лучше воздержитесь от покупки. Обычно такие отзывы — фейк.
- Если это покупка в «онлайн-магазине» в социальных сетях:
Мошенники часто создают поддельные сайты, где активна только главная и платежная страницы, и таким образом собирают данные вашей карты для дальнейших мошеннических операций.- обратите внимание на дату создания аккаунта. Если магазину всего несколько дней, это могут быть мошенники;
- для проверки официальности бренда обратите внимание, стоит ли синяя галочка возле названия аккаунта. Социальные сети проверяют ряд документов продавца, перед тем как определить правдивость страниц. Именно поэтому аккаунты с такой галочкой считаются проверенными.
Можно ли вернуть деньги в случае мошенничества?
Чарджбек (от англ. chargeback — возвращение средств) — это процедура возврата средств в случае неправомерных действий продавца или других мошеннических действий в интернете. Например, если товар или услуга не были предоставлены, были предоставлены не полностью или не соответствуют вашим ожиданиям. Чтобы вернуть средства, нужно обратиться в банк, выпустивший вашу карту, написать заявление и доказать, что продавец частично или целиком не выполнил свои обязательства. Подробные условия возврата средств определяет банк, выпустивший карту.
ВАЖНО. Перевод с карты на карту не гарантирует вам возможности возврата средств на карту. Такая транзакция считается добровольной, вы сможете вернуть средства на карту только в том случае, если на это согласится получатель-продавец.
Другие полезные финансовые привычки от Mastercard
Разница между кредитными и дебетовыми картами
Мы хотим, чтобы у вас был отличный опыт, пока вы здесь.
Пожалуйста, включите JavaScript.
Дебетовые и кредитные карты используются для оплаты товаров или услуг без оплаты наличными или выписки чека. Разница между ними заключается в том, откуда берутся деньги для оплаты покупки.
Какая разница?
При использовании дебетовой карты средства на сумму покупки списываются с вашего расчетного счета почти мгновенно. Когда вы используете кредитную карту, сумма будет снята с вашей кредитной линии, то есть вы оплатите счет позже, что также даст вам больше времени для оплаты.
Часто бывает сложно решить, когда лучше всего использовать каждую карту. Для повседневных покупок рассмотрите возможность использования своей дебетовой карты, потому что вы сразу увидите, как деньги будут сняты с вашего расчетного счета. Для более крупных вещей, таких как аренда автомобиля или номер в отеле, вы можете использовать свою кредитную карту, чтобы накопить деньги к тому времени, когда вам нужно будет заплатить.
Преимущества дебетовой карты
В дополнение к удобству, если у вас нет наличных денег, дебетовые карты имеют ряд преимуществ для пользователей.
- Не увеличивайте свой долг. Использование дебетовой карты вместо кредитной — это хороший способ снизить шансы залезть в долги. Этот способ оплаты должен помочь вам уложиться в бюджет и не тратить все деньги на вашем расчетном счете. Если вы когда-нибудь потратите больше, чем позволяет ваш текущий счет, с вас может взиматься комиссия за овердрафт или возврат в вашем банке.
- Дебетовые карты обеспечивают легкий доступ к наличным деньгам. Вы можете использовать свою дебетовую карту для снятия наличных в банкоматах. Некоторые розничные магазины также позволяют вам получить «возврат наличных», списывая сумму, превышающую вашу первоначальную транзакцию, на ваш текущий счет и предоставляя вам наличные деньги вместе с квитанцией.
- Заплатите сейчас, чтобы потом не платить по счетам. Поскольку деньги от покупки, которую вы совершаете с помощью дебетовой карты, снимаются непосредственно с вашего расчетного счета, вам не нужно беспокоиться о счете, который придет к вам в конце месяца. Это также означает, что вам не нужно беспокоиться о накоплении процентов по этому счету. Использование дебетовой карты — отличный способ контролировать свои расходы, просто будьте осторожны, чтобы избежать овердрафта и комиссий за возврат!
Поскольку деньги от покупки, которую вы совершаете с помощью дебетовой карты, снимаются непосредственно с вашего расчетного счета, вам не нужно беспокоиться о счете, который придет к вам в конце месяца. Это также означает, что вам не нужно беспокоиться о накоплении процентов по этому счету. Использование дебетовой карты — отличный способ контролировать свои расходы, просто будьте осторожны, чтобы избежать овердрафта и комиссий за возврат!Открыть текущий счет в Хантингтоне
Если вам нужен обычный текущий счет без ежемесячной платы за обслуживание или расчетный счет с процентным доходом, у нас есть подходящие варианты.
Узнать больше
Преимущества кредитной карты
Наличие и использование кредитной карты дает несколько преимуществ.
- Кредитные карты дают вам дополнительное время для оплаты покупок. В конце месячного цикла кредитной карты вы получите счет, в котором будет указана сумма, которую вы должны заплатить за покупки, сделанные за последние 30 дней. В зависимости от того, когда вы совершили покупку, у вас есть до нескольких недель, чтобы оплатить счет по кредитной карте. Технически вы должны платить только минимальную плату каждый месяц, но это может привести к долгам в будущем.
Например, если вы тратите 1000 долларов в месяц и платите только минимальный ежемесячный платеж в размере 15 долларов, а затем снова тратите в следующем месяце, вы, вероятно, попадете в долговую ловушку. Каждый месяц, когда вы не оплачиваете весь счет, компания-эмитент кредитной карты будет взимать определенную сумму процентов. Полезный совет: выплачивайте как можно больше каждый месяц, чтобы получить более высокий кредит и избежать накопления долгов.
- Использование кредитной карты способствует укреплению вашей кредитной истории. Каждый раз, когда вы что-то покупаете с помощью кредитной карты, а затем вовремя оплачиваете, ваша кредитная история будет накапливаться. Наличие хорошей кредитной истории важно, когда вы берете кредит или покупаете машину или дом. Ежемесячное погашение счета по кредитной карте покажет, что вы способны погасить долг, и поможет улучшить свой кредитный рейтинг.
- Удобно для экстренных случаев. Наличие кредитной карты очень полезно и удобно в экстренных случаях. Если вам вдруг понадобится оплатить ремонт в вашем доме, вы можете положить списание средств на свою кредитную карту. В этом случае вы, вероятно, не планировали эти расходы, поэтому компания, выпускающая вашу кредитную карту, продлит вам кредит до тех пор, пока вы не оплатите счет в конце месяца. Опять же, это дает вам немного дополнительного времени, чтобы заплатить за то, что вы не ожидали заплатить.
В зависимости от того, когда вы совершили покупку, у вас есть до нескольких недель, чтобы оплатить счет по кредитной карте. Технически вы должны платить только минимальную плату каждый месяц, но это может привести к долгам в будущем.
Ежемесячное погашение счета по кредитной карте покажет, что вы способны погасить долг, и поможет улучшить свой кредитный рейтинг.Преимущества наличия дебетовой и кредитной карты
У многих людей есть дебетовая и кредитная карты. Поскольку каждая карта используется по-разному, они используют уникальные преимущества и различия между дебетовыми и кредитными картами. Вместо того, чтобы выбирать между одним или другим, подумайте о том, чтобы получить оба!
Заинтересованы в получении дебетовой карты?
Подайте онлайн заявку на расчетный счет и получите дебетовую карту с новым счетом.
Если у вас уже есть текущий счет, вы можете запросить дебетовую карту, посетив местное отделение или позвонив нам по телефону (800) 480-2265. Узнайте больше о нашей дебетовой карте.
Заинтересованы в получении кредитной карты?
Подайте заявку на получение кредитной карты Huntington и выберите преимущества, подходящие именно вам: получите 3-кратное вознаграждение в выбранной вами категории, заработайте 1,5% неограниченного кэшбэка за покупки или получите более низкую годовую процентную ставку, чем наши карты вознаграждения и кэшбэка. Узнайте больше о наших предложениях по кредитным картам.
Связанный контент
Проверка основ
Время чтения: 4 мин.
Как аннулировать утерянную или украденную дебетовую карту
Мы знаем, что может быть тревожно, когда вы открываете бумажник и понимаете, что вашей дебетовой карты больше нет.
Независимо от того, была ли ваша дебетовая карта украдена или случайно потеряна, мы поможем вам справиться с этим. Узнайте, к кому вам следует обратиться, как будут обрабатываться мошеннические платежи и как заменить утерянную дебетовую карту.
28 марта 2023 г.
Проверка основ
Время чтения: 4 мин.
Как активировать дебетовую карту
Вы только что получили новую дебетовую карту Huntington, но прежде чем вы сможете начать ее использовать, вам необходимо ее активировать. Вот как.
28 марта 2023 г.
Руководство по соответствию PCI
Часто задаваемые вопросы
Нажмите на ссылки ниже, чтобы найти ответы на часто задаваемые вопросы.
| Q1: | Что такое PCI? |
| Q2: | На кого распространяется PCI DSS? |
| Q3: | Где я могу найти Стандарт безопасности данных PCI (PCI DSS)? |
| Q4: | Что такое «уровни» соответствия PCI и как они определяются? |
| Q5: | Что должен сделать малый и средний бизнес (торговец уровня 4), чтобы соответствовать требованиям PCI DSS? |
| Q6: | Как прием кредитных карт по телефону работает с PCI? |
| Q7: | Если я принимаю кредитные карты только по телефону, применим ли ко мне стандарт PCI DSS? |
| Q8: | Должны ли организации, использующие сторонние процессоры, соответствовать стандарту PCI DSS? |
| Q9: | У моей компании несколько офисов, требуется ли каждый офис для подтверждения соответствия требованиям PCI? |
| Q10: | Мы занимаемся только электронной коммерцией. Какой SAQ мы должны использовать? |
| Q11: | Моя компания не хранит данные кредитных карт, поэтому соответствие PCI на нас не распространяется, верно? |
| Q12: | Подпадают ли транзакции по дебетовым картам под действие PCI? |
| Q13: | Соответствую ли я стандарту PCI, если у меня есть SSL-сертификат? |
| Q14: | Моя компания хочет сохранить данные кредитной карты. Какие методы мы можем использовать? |
| Q15: | Каковы санкции за несоблюдение требований? |
| Q16: | Что определяется как «данные держателя карты»? |
| Q17: | Что означает термин «торговец»? |
| Q18: | Что представляет собой поставщик услуг? |
| Q19: | Что представляет собой платежное приложение? |
| Q20: | Что такое платежный шлюз? |
| Q21: | Что такое PA-DSS? |
| Q22: | Можно ли указать полный номер кредитной карты на копии квитанции для потребителя? |
| Q23: | Нужно ли сканирование уязвимостей для подтверждения соответствия? |
| Q24: | Что такое сканирование уязвимостей? |
| Q25: | Как часто мне нужно проводить сканирование уязвимостей? |
| Q26: | Что, если мой бизнес откажется сотрудничать? |
| Q27: | Если я веду бизнес из дома, могу ли я стать серьезной мишенью для хакеров? |
| Q28: | Что делать, если меня взломали? |
| Q29: | Есть ли в штатах законы, требующие уведомления пострадавших сторон об утечке данных? |
Q1: Что такое PCI?
A: Стандарт безопасности данных индустрии платежных карт (PCI DSS) представляет собой набор стандартов безопасности, разработанных для обеспечения того, чтобы ВСЕ компании, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах, поддерживали безопасную среду.
Совет по стандартам безопасности индустрии платежных карт (PCI SSC) был создан 7 сентября 2006 г. для управления продолжающейся эволюцией стандартов безопасности индустрии платежных карт (PCI) с упором на повышение безопасности платежных счетов на протяжении всего процесса транзакции. PCI DSS администрируется и управляется PCI SSC (www.pcisecuritystandards.org), независимым органом, созданным основными брендами платежных карт (Visa, MasterCard, American Express, Discover и JCB). Важно отметить, что платежные бренды и эквайеры несут ответственность за соблюдение требований, а не совет PCI. Копия стандарта PCI DSS доступна здесь.
Вернуться к началу
Q2: К кому применяется стандарт PCI DSS?
A: PCI DSS применяется к ЛЮБОЙ организации, независимо от размера или количества транзакций, которая принимает, передает или хранит любые данные о держателях карт.
Вернуться к началу
В3: Где я могу найти Стандарт безопасности данных PCI (PCI DSS)?
A: Текущие документы PCI DSS можно найти на веб-сайте Совета по стандартам безопасности PCI.
Вернуться к началу
В4. Что такое «уровни» соответствия PCI и как они определяются?
A: Все продавцы попадут в один из четырех уровней продавцов в зависимости от объема транзакций Visa за 12-месячный период. Объем транзакций основан на совокупном количестве транзакций Visa (включая кредитные, дебетовые и предоплаченные) от продавца, ведущего бизнес как («DBA»). В случаях, когда торговая корпорация имеет более одного DBA, эквайеры Visa должны учитывать совокупный объем транзакций, хранимых, обрабатываемых или передаваемых юридическим лицом, чтобы определить уровень проверки. Если данные не агрегированы, то есть юридическое лицо не хранит, не обрабатывает и не передает данные о держателях карт от имени нескольких администраторов баз данных, эквайеры будут продолжать учитывать объем транзакций отдельного администратора баз данных для определения уровня проверки.
Уровни продавца согласно Visa:
| Уровень продавца | Описание |
| 1 | Любой продавец — независимо от канала приема — обрабатывает более 6 миллионов транзакций Visa в год. Любой продавец, которого Visa по своему усмотрению определяет, должен соответствовать требованиям продавца Уровня 1, чтобы свести к минимуму риск для системы Visa. |
| 2 | Любой продавец — независимо от канала приема — обрабатывает от 1 до 6 миллионов транзакций Visa в год. |
| 3 | Любой продавец, обрабатывающий от 20 000 до 1 млн транзакций электронной коммерции Visa в год. |
| 4 | Любой продавец, обрабатывающий менее 20 000 транзакций электронной коммерции Visa в год, и все остальные продавцы, независимо от канала приема, обрабатывающие до 1 млн транзакций Visa в год. |
* Любой продавец, пострадавший от взлома, который привел к компрометации данных учетной записи, может быть передан на более высокий уровень проверки.
Вернуться к началу
В5.
Что должен делать малый и средний бизнес (торговец уровня 4), чтобы соответствовать требованиям PCI DSS?
A: Чтобы соответствовать требованиям PCI, продавец должен выполнить следующие шаги:
- Определите, какой опросный лист самооценки (SAQ) должен использовать ваш бизнес для подтверждения соответствия. См. таблицу ниже, чтобы помочь вам выбрать. (Щелкните по таблице, чтобы увеличить.)
- Заполните Анкету самооценки в соответствии с содержащимися в ней инструкциями.
- Завершите и получите подтверждение прохождения сканирования уязвимостей с помощью утвержденного PCI SSC поставщика сканирования (ASV). Примечание. Сканирование распространяется не на всех продавцов. Он требуется для SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant и SAQ D-Service Provider.
- Полностью заполните соответствующую аттестацию соответствия (находится в инструменте SAQ).
- Отправьте SAQ, подтверждение прохождения сканирования (если применимо) и Аттестацию соответствия вместе с любой другой запрошенной документацией вашему эквайеру.
Прочтите нашу запись в блоге «Основы PCI/Краткое руководство — что нужно делать мелким торговцам для достижения соответствия требованиям PCI?»
Вернуться к началу
В6: Как прием кредитных карт по телефону работает с PCI?
A: Следующий пост «Как прием кредитных карт по телефону работает с PCI?» объясняет ваши обязанности по соблюдению требований PCI при получении информации о кредитной карте по телефону (например, в колл-центре). Обратите внимание, что хотя этот пост был опубликован в 2014 году, он по-прежнему актуален для текущей версии PCI DSS 9.0476 .
Вернуться к началу
В7: Если я принимаю кредитные карты только по телефону, распространяется ли на меня стандарт PCI DSS?
А: Да. Все предприятия, которые хранят, обрабатывают или передают данные о держателях платежных карт, должны соответствовать стандарту PCI.
В начало
В8.
Должны ли организации, использующие сторонние процессоры, соответствовать стандарту PCI DSS?
А: Да. Простое использование сторонней компании не исключает компанию из-под действия стандарта PCI DSS. Это может снизить их подверженность риску и, следовательно, уменьшить усилия по проверке соблюдения требований. Однако это не означает, что они могут игнорировать PCI DSS.
Вернуться к началу
В9. У моей компании несколько офисов. Нужно ли в каждом из них подтверждать соответствие стандарту PCI?
A: Если ваши офисы работают с одним и тем же ИНН, то, как правило, вам нужно подтверждать только один раз в год для всех офисов. Кроме того, ежеквартально отправляйте сканирование сети утвержденным поставщиком сканирования (ASV) PCI SSC для каждого местоположения, если это применимо.
Наверх
Q10: Мы занимаемся только электронной коммерцией. Какой SAQ мы должны использовать?
A: Это зависит от того, как настроена ваша корзина.
См. PCI SAQ 3.1: Объяснение вариантов электронной коммерции.
Вернуться к началу
В11. Моя компания не хранит данные кредитных карт, поэтому соответствие PCI на нас не распространяется, верно?
A: Если вы принимаете кредитные или дебетовые карты в качестве формы оплаты, то к вам применяется соответствие PCI. Хранение данных карты сопряжено с риском, поэтому, если вы не храните данные карты, может быть проще обеспечить безопасность и соответствие требованиям.
Вернуться к началу
В12. Подпадают ли операции с дебетовыми картами под действие PCI?
A: Карты, входящие в сферу охвата, включают любые дебетовые, кредитные и предоплаченные карты с одним из пяти логотипов ассоциаций/брендов карт, которые участвуют в PCI SSC — American Express, Discover, JCB, MasterCard и Виза Интернэшнл.
Вернуться к началу
Q13: Соответствую ли я стандарту PCI, если у меня есть SSL-сертификат?
A: Нет.
SSL-сертификаты не защищают веб-сервер от вредоносных атак или вторжений. SSL-сертификаты высокой надежности обеспечивают первый уровень безопасности и уверенности клиентов, как показано ниже, но есть и другие шаги для достижения соответствия PCI. См. вопрос «Что должен сделать малый и средний бизнес (торговец уровня 4), чтобы соответствовать требованиям PCI?»
- Безопасное соединение между браузером клиента и веб-сервером
- Подтверждение того, что операторы веб-сайта являются законной, юридически подотчетной организацией
См. соответствующую запись в блоге «PCI DSS v3.1 и SSL: что вам следует сделать СЕЙЧАС».
Вернуться к началу
В14. Моя компания хочет сохранить данные кредитной карты. Какие методы мы можем использовать?
A: Большинство продавцов, которым необходимо хранить данные кредитных карт, делают это для регулярного выставления счетов. Лучший способ сохранить данные кредитной карты для регулярного выставления счетов — использовать стороннее хранилище кредитных карт и поставщика токенизации.
При использовании хранилища данные карты удаляются из вашего владения, и вам возвращается «токен», который можно использовать для периодического выставления счетов. Используя третью сторону, вы перекладываете риск хранения данных карты на того, кто специализируется на этом и имеет все средства контроля безопасности для обеспечения безопасности данных карты.
Если вам нужно хранить данные карты самостоятельно, ваша планка для самооценки очень высока, и вам может потребоваться пригласить QSA (квалифицированный оценщик безопасности) на место и провести аудит, чтобы убедиться, что у вас есть все средства контроля в место, необходимое для соответствия спецификациям PCI DSS.
См. соответствующую публикацию в блоге «Можем ли мы безопасно хранить данные карты для периодического выставления счетов?»
Вернуться к началу
В15: Какие санкции предусмотрены за несоблюдение требований?
A: Платежные бренды могут по своему усмотрению оштрафовать банк-эквайер на сумму от 5 000 до 100 000 долларов США в месяц за нарушение требований PCI.
Банки, скорее всего, пропустят этот штраф, пока он в конечном итоге не попадет на продавца. Кроме того, банк также, скорее всего, либо разорвет ваши отношения, либо повысит комиссию за транзакцию. Штрафы не обсуждаются открыто и не афишируются, но они могут иметь катастрофические последствия для малого бизнеса. Важно ознакомиться с соглашением об учетной записи продавца, в котором должны быть изложены ваши риски.
Узнайте больше о штрафах за несоблюдение требований в нашем блоге «Как ваши усилия по соблюдению требований PCI могут в конечном итоге сэкономить деньги вашего бизнеса?»
Вернуться к началу
В16. Что определяется как «данные держателя карты»?
A: Совет по стандартам безопасности PCI (SSC) определяет «данные держателя карты» как полный основной номер счета (PAN) или полный PAN вместе с любым из следующих элементов:
- имя держателя карты
- Срок годности
- Сервисный код
Конфиденциальные данные аутентификации, которые также должны быть защищены, включают полные данные магнитной полосы, CAV2, CVC2, CVV2, CID, PIN-коды, блоки PIN-кодов и многое другое.
Вернуться к началу
В17. Что означает термин «торговец»?
A: Для целей PCI DSS продавцом считается любое лицо, которое принимает платежные карты с логотипами любого из пяти членов PCI SSC (American Express, Discover, JCB, MasterCard или Visa). в качестве оплаты товаров и/или услуг. Обратите внимание, что торговец, принимающий платежные карты в качестве оплаты товаров и/или услуг, также может быть поставщиком услуг, если проданные услуги приводят к хранению, обработке или передаче данных держателя карты от имени других торговцев или поставщиков услуг. Например, интернет-провайдер является продавцом, который принимает платежные карты для ежемесячного выставления счетов, но также является поставщиком услуг, если он принимает продавцов в качестве клиентов. Источник: PCI SSC
Вернуться к началу
Q18: Кто представляет собой поставщика услуг?
A: PCI SSC определяет поставщика услуг следующим образом:
«Коммерческая организация, не являющаяся платежным брендом, непосредственно участвующая в обработке, хранении или передаче данных о держателях карт.
Сюда также входят компании, предоставляющие услуги, которые контролируют или могут повлиять на безопасность данных держателей карт». (Источник: www.pcisecuritystandards.org)
Роль «продавца как поставщика услуг» далее определяется PCI SSC как «продавец, который принимает платежные карты в качестве оплаты за товары и/или услуги… если проданные услуги приводят к хранение, обработка или передача данных о держателях карт от имени других продавцов или поставщиков услуг». Узнайте больше о том, как обеспечить соответствие требованиям в качестве поставщика услуг. См. запись в нашем блоге «Соответствие требованиям PCI и поставщик услуг».
Вернуться к началу
В19. Что представляет собой платежное приложение?
A: Что представляет собой платежное приложение с точки зрения соответствия PCI? Термин «платежное приложение» имеет очень широкое значение в PCI. Платежное приложение — это все, что хранит, обрабатывает или передает данные карты в электронном виде.
Это означает, что все, от системы точек продаж (например, считывающих терминалов Verifone, терминалов ALOHA и т. д.) в ресторане до корзины для покупок на веб-сайте (например, CreLoaded, osCommerce и т. д.), классифицируется как платежные приложения. Поэтому любое программное обеспечение, предназначенное для работы с данными кредитных карт, считается платежным приложением.
Вернуться к началу
Q20: Что такое платежный шлюз?
A: Платежные шлюзы соединяют продавца с банком или процессором, который выступает в качестве интерфейсного соединения с брендами карт. Их называют шлюзами, потому что они принимают множество входных данных от различных приложений и направляют эти входные данные в соответствующий банк или процессор. Шлюзы обмениваются данными с банком или процессором, используя коммутируемые соединения, веб-соединения или частные выделенные линии.
Вернуться к началу
Q21: Что такое PA-DSS?
A: PA-DSS — это Стандарт безопасности данных платежных приложений, поддерживаемый Советом по стандартам безопасности PCI (SSC) для решения критической проблемы безопасности платежных приложений.
Требования стандарта PA-DSS предназначены для обеспечения того, чтобы поставщики предоставляли продукты, поддерживающие усилия продавцов по соблюдению требований PCI DSS и отказу от хранения конфиденциальных данных держателей карт.
PCI SSC администрирует программу проверки платежных приложений на соответствие стандарту PA-DSS, а также публикует и ведет список подтвержденных PA-DSS приложений. Дополнительную информацию см. в Стандартах безопасности PCI. Также см. статью в нашем блоге о критической разнице между PCI DSS и PA-DSS здесь.
Вернуться к началу
В22. Можно ли указать полный номер кредитной карты на копии квитанции для покупателя?
A: Требование 3.3 стандарта PCI DSS гласит: «Маска PAN при отображении (первые шесть и последние четыре цифры — максимальное количество отображаемых цифр)». Хотя это требование не запрещает печатать полный номер карты или дату истечения срока действия на квитанциях (как на копии для продавца, так и на копии для потребителя), обратите внимание, что PCI DSS не имеет приоритета над любыми другими законами, определяющими, что может быть напечатано на квитанциях (например, Закон США о честных и точных кредитных сделках (FACTA) или любые другие применимые законы).
См. примечание, выделенное курсивом, к требованию 3.3 PCI DSS «Примечание. Это требование не отменяет более строгих требований к отображению данных о держателях карт — например, юридических требований или требований к бренду платежной карты для чеков в точках продаж (POS). Любые бумажные квитанции, хранящиеся у продавцов, должны соответствовать PCI DSS, особенно требованию 9, касающемуся физической безопасности». Источник: PCI SSC
В начало
В23. Нужно ли мне сканирование уязвимостей для подтверждения соответствия требованиям?
A: Если вы имеете право на участие в определенных опросниках для самооценки (SAQ) или вы храните данные о держателях карт в электронном виде после авторизации, то для соблюдения требований требуется ежеквартальное сканирование у одобренного PCI SSC поставщика сканеров (ASV). Если вы отвечаете требованиям для любого из следующих SAQ версии 3.x PCI DSS, вам необходимо пройти успешное сканирование ASV:
- SAQ A-EP
- SAQ B-IP
- SAQ С
- SAQ D-Продавец
- SAQ Поставщик D-услуг
.
В начало
В24. Что такое сканирование уязвимостей?
A: Сканирование уязвимостей включает автоматизированный инструмент, который проверяет системы продавца или поставщика услуг на наличие уязвимостей. Инструмент будет проводить ненавязчивое сканирование для удаленного просмотра сетей и веб-приложений на основе адресов внешнего интернет-протокола (IP), предоставленных продавцом или поставщиком услуг. Сканирование выявляет уязвимости в операционных системах, службах и устройствах, которые хакеры могут использовать для атаки на частную сеть компании. Согласно утвержденным поставщикам сканирования (ASV), таким как ControlScan, сканирование не требует от продавца или поставщика услуг установки какого-либо программного обеспечения на свои системы, и атаки типа «отказ в обслуживании» выполняться не будут. Узнайте больше о сканировании уязвимостей здесь.
Вернуться к началу
В25. Как часто мне нужно проводить сканирование на наличие уязвимостей?
A: Каждые 90 дней/один раз в квартал те, кто соответствует вышеперечисленным критериям, должны пройти проходное сканирование. Продавцы и поставщики услуг должны представить документацию о соответствии (отчеты об успешном сканировании) в соответствии с графиком, установленным их эквайером. Сканирование должно проводиться одобренным PCI SSC поставщиком услуг сканирования (ASV), таким как ControlScan.
См. соответствующую запись в блоге «Внутренние и внешние сканирования уязвимостей: почему вам нужны оба».
Вернуться к началу
Q26: Что делать, если мой бизнес отказывается сотрудничать?
A: PCI сам по себе не является законом. Стандарт был создан основными карточными брендами Visa, MasterCard, Discover, AMEX и JCB. По усмотрению своих эквайеров/поставщиков услуг продавцы, которые не соблюдают PCI DSS, могут быть подвергнуты штрафам, затратам на замену карты, дорогостоящим судебно-медицинским проверкам, повреждению бренда и т.
д. в случае нарушения правил.
За небольшие первоначальные усилия и затраты на соблюдение PCI DSS вы значительно снижаете риск столкнуться с этими чрезвычайно неприятными и дорогостоящими последствиями. Узнайте, как ControlScan помогает упростить стандарт PCI DSS.
Вернуться к началу
В27. Если я веду бизнес из дома, могу ли я стать серьезной мишенью для хакеров?
А: Да. Домашние пользователи, возможно, наиболее уязвимы просто потому, что они обычно плохо защищены. Применяя модель «пути наименьшего сопротивления», злоумышленники часто сосредотачиваются на домашних пользователях, часто используя их постоянно активные широкополосные соединения и типичные домашние программы, такие как чат, интернет-игры и приложения для обмена файлами P2P. Служба сканирования ControlScan позволяет домашним пользователям и сетевым администраторам выявлять и устранять любые уязвимости в системе безопасности на своих настольных или портативных компьютерах.
См. соответствующую публикацию в блоге «5 рекомендаций по обеспечению безопасности малого бизнеса».
Вернуться к началу
В28. Что делать, если меня взломали?
A: Несмотря на то, что многие утечки данных платежных карт легко предотвратить, они все еще могут происходить и происходят в компаниях любого размера.
Если ваш малый или средний бизнес обнаружил взлом, есть много полезных ресурсов, которые помогут вам сделать следующие шаги. Мы рекомендуем следующее:
- Министерство юстиции, Передовой опыт реагирования на кибер-инциденты и сообщения о них
- Совет PCI, Реагирование на утечку данных — практическое руководство по управлению инцидентами
- Electronic Transactions Association (ETA), Реагирование на утечку данных: руководство из девяти шагов для мелких торговцев
Вернуться к началу
В29.