Cертификация на соответствие стандарту PCI DSS начинается с определения области применимости, обычно описываемой перечнем бизнес-процессов. Если говорить о банках и финансовых организациях, то можно четко выделить эмиссионные и эквайринговые процессы.

Эмиссионные процессы — те, в рамках которых обрабатываются данные карт, выпущенных самим банком: например, учетные системы персонализации, выдачи и логистики, АБС и CRM, использующие номера карт при расчетах или идентификации клиентов.

К эквайринговым процессам относят те, которые обрабатывают транзакции от банкоматов или POS-терминалов, содержащие данные любых карт, в том числе других банков, входящие запросы от международных платежных систем (МПС) и переводы с карты на карту между банками.

Эквайринг находится в зоне особого внимания

Какие процессы нужно включать в область аудита? Если банк начал свой карточный бизнес недавно, когда стандарт PCI DSS уже существовал и МПС предъявляли свои требования к процессингу, то у банка есть все шансы построить свои бизнес-процессы в полном соответствии со стандартом. У большинства коробочных решений на рынке уже есть готовые интерфейсы работы с другими автоматизированными системами, исключающие использование данных карт в открытом виде в интеграциях.

Но если банк с давней историей начал выпускать карты и принимать платежи задолго до возникновения стандарта PCI DSS, то все не так просто. Такие банки часто используют в качестве идентификаторов и связок между системами номера...