За последнее время к нам поступил ряд запросов от организаций по поводу хранения данных кредитных карт. В частности, организации хотят знать, как сохранять эти данные таким образом, чтобы соответствовать требованиям стандарта «Отрасль платежных карт – Безопасность данных» (Payment Card Industry – Data Security Standard, PCI-DSS, ), разработанного в целях поощрения и повышения безопасности данных о держателях карт и применимого в любых организациях, которые хранят, обрабатывают или передают данные о держателях карт.
В настоящий момент данная проблема является, судя по всему, общей для организаций, и не только в Новом Южном Уэльсе - наши коллеги из Архивов штата Квинсленд только что опубликовал ряд советов по этому самому вопросу для государственных организаций и учреждений штата (см. ), и также эта тема обсуждалась на листсерв-форуме Ассоциации специалистов Австралазии по управлению документами и информацией (Records and Information Management Professionals Australasia, RIMPA, ).
Обрабатывающие электронные финансовые транзакции государственные учреждения Нового Южного Уэльса должны захватить и управлять данными в соответствии со стандартом PCI-DSS:
- Стандарт запрещает организациям сохранять определенные «чувствительные» аутентификационные данные (например, данные по проверке карты и персональный идентификационный номер (PIN-код)) после того, как процесс аутентификации был завершен;
- Стандарт требует от организаций свести к минимуму сроки хранения дополнительных данных о держателях карт (таких, как номер счета, имя держателя карты, срок действия и т.д.) путем внедрения политик, процедур и процессов хранения и уничтожения данных.
- Для данных о держателях карт установлен минимальный срок хранения 3 месяца, дающий время для того, чтобы сверить сведения о ежемесячных платежах. По истечении этого срока допускается уничтожение данных в соответствии с проведенной организацией оценкой своих специфических правовых, нормативных и деловых потребностей в их сохранении.
- Уничтожение чувствительных аутентификационных данных разрешается по завершении транзакции.
| «Данные кредитной карты предназначены для хранения в течение очень короткого периода времени – можно сказать, что платеж в большей степени является транзакцией между коммерческой организацией и компанией - эмитентом кредитной карты (деньги поступают от неё, а не от клиента), а не с физическим лицом. По сути дела платежная система зафиксирует платеж как принятый, получив сведения с магнитной полосы, дополнительный защитный код CVV (при необходимости) и PIN-код.» |
- Ни в коем случае не следует сохранять чувствительные аутентификационные данные;
- Стандарт PCI-DSS требует, чтобы номера счетов (номера карт) при хранении делались нечитаемыми. Если система, в которой Ваша организация хранит данные кредитных карт, не может выполнить это требование, то Вашей организации не следует захватывать эту информацию в свою систему;
- Прочие данные о держателе карты (помимо чувствительных аутентификационных данных) должны храниться только если в этом есть обоснованная нормативно-правовая или деловая потребность. По истечении минимального срока хранения Ваша организация должна уничтожить данные, если нет веских оснований для их дальнейшего сохранения;
- Если документы о транзакциях с картами включают иную информацию, помимо данных о держателях карт, и Вашей организации эта информация нужна в течение определенного периода времени после завершения транзакции, то данные о держателях карт должны быть сохранены или отредактированное таким образом, чтобы соответствовать требованиям стандарта PCI-DSS. Если системы и процессы Вашей организации не в состоянии этого обеспечить, или же если для этого потребуется использовать сложные обходные пути, Вы можете подумать о введении новых процессов, обеспечивающих, чтобы все новые данные о держателях карт не захватывались вместе с другой информацией. Это будет означать, что Вы сможете легко уничтожить данные о держателях карт по истечении потребности в них, сохраняя при этом другую информацию до тех пор, пока она нужна.
- Внедрение и документирование процесса захвата и управления документами по транзакциям с кредитными картами имеет важное значение. Это обеспечит понимание всеми сотрудниками того, какие данные должны быть захвачены и сохранены, а какие могут быть уничтожены. Введение этого процесса потребует проведения консультаций с теми сотрудниками, которые получают, обрабатывают и используют данные о держателях карт.
Источник: сайт архивно-документационной службы штата Новый Южный Уэльс, Австралия
