Звіт про відповідність (RoC) перевіряє стандарти, які призначені для захисту інформації про кредитні картки.
RoC та щоквартальні зовнішні скани ASV є обов’язковими для всіх торговців 1 рівня. Торговець 1 рівня – це роздрібний продавець, який має понад 6 мільйонів щорічних транзакцій з Visa та/або Mastercard.
Звіт про відповідність – це звіт, який документує докладні результати оцінки PCI DSS. RoC повинен бути завершений Кваліфікованим оцінювачем безпеки (QSA) після аудиту та поданий до приймача торговця. Приймач, після прийняття RoC, відправляє його до платіжної марки для перевірки.
У новому стандарті PCI DSS 3.0 доступно три типи Самооцінки (SAQ) для веб-сайтів електронної комерції. Їх назви: A, A-EP (електронна обробка) та D.
Рівень торговця | Кількість транзакцій щорічно | Переадресація | Iframe | Прямий POST | JavaScript | XML | Інше |
|---|---|---|---|---|---|---|---|
| 1 | Понад 6 мільйонів | RoCA | RoCA | RoCA-EP | RoCA-EP | RoC | RoC |
| 2 | 1 – 6 мільйон | SAQ A | SAQ A | SAQ A-EP | SAQ A-EP | SAQ D | SAQ D |
| 3 | 20 000 – 1 мільйон | SAQ A | SAQ A | SAQ A-EP | SAQ A-EP | SAQ D | SAQ D |
| 4 | до 20 000 | SAQ A | SAQ A | SAQ A-EP | SAQ A-EP | SAQ D | SAQ D |
RoCA – Частковий звіт про відповідність, що підтверджує обсяг, прийнятність та вимоги, перелічені в SAQ A
RoCA-EP – Частковий звіт про відповідність, що підтверджує сферу застосування, прийнятність та вимоги, перелічені в SAQ A-EP
Щоб визначити, який тип потрібен, мерчант повинен проаналізувати кілька факторів.
SAQ A
Якщо ваш веб-сайт використовує реалізацію iFrame або Hosted Page, ви несете відповідальність за дотримання SAQ A. У цьому випадку користувач потрапляє на платіжну сторінку, яка розміщується у постачальника послуг. Це можна зробити за допомогою перенаправлення, коли користувач переходить на іншу сторінку (тобто на сторінку, розміщену на хостингу), або на тій самій сторінці у вигляді iFrame.
Ви можете знайти опис розміщеної сторінки та схему реалізації iFrame в нашій документації по API:
SAQ A-EP
Якщо на сайті продавця розміщена форма кредитної картки, він повинен відповідати SAQ A-EP. Цей SAQ застосовується, якщо продавець використовує Direct Post або JavaScript реалізацію карткової форми. У будь-якому випадку, ви збираєте інформацію через власну форму, використовуючи дії та методи для передачі до API. Рішення на кшталт шифрування або токенізації на стороні клієнта може допомогти продавцям відповідати SAQ A-EP.
N.B.! Ні SAQ A, ні SAQ A-EP не дозволяють торговцям зберігати або передавати дані кредитних карток через власні сервери та мережу. Вся обробка даних власників карток передається на аутсорсинг Fondy як сторонньому платіжному процесору, що пройшов сертифікацію PCI DSS.
Ви можете знайти опис використання технології токенізації в нашій документації here.
SAQ D
Це фірми електронної комерції, які не відповідають жодному з наведених вище критеріїв. Постачальники послуг і торговці, які не відповідають критеріям жодного з наведених вище опитувальників.
SAQ D для торговців застосовується до торговців, які мають право на отримання SAQ, але не відповідають критеріям будь-якого іншого типу SAQ. Приклади торговельних середовищ, які можуть використовувати SAQ D, можуть включати, але не обмежуватися ними:
З SAQ A, D та A-EP ви можете використовувати будь-які інтеграції FONDY, крім Прямого методу:
Прямий метод вимагає зберігання даних картки на сервері торгівця. У цьому випадку обов’язковий PCI DSS RoC:
Рівень 1: Торгівці, які обробляють понад 6 мільйонів транзакцій за рік.
Рівень 2: Торгівці, які обробляють від 1 до 6 мільйонів транзакцій за рік.
Рівень 3: Торгівці, які обробляють від 20,000 до 1 мільйона транзакцій за рік.
Рівень 4: Торгівці, які обробляють менше 20,000 транзакцій за рік.
Якщо вам потрібно розмістити форму кредитної картки на вашому сайті, але у вас немає RoC, ви можете використовувати Вбудовану сторінку оплати з SAQ D або A-EP.