Недавно на форуме сообщества профессионалов индустрии платежных карт (SPSP Forum) была опубликована статья об утечке информации франчайзинг-операторов и о соответствии стандарту PCI.
PCI DSS дает только одну рекомендацию франчайзинговым компаниям (на странице 7 стандарта). Ссылка на этой странице относится только к выборке. Изначально было обозначено, что соответствие PCI в среде франчайзинг-бизнеса контролируется отношениями между франчайзером (организацией, которая выдает лицензии на бизнес) и франчайзи (организацией, которая работает по лицензии в бизнесе). Франчайзи обычно имеют свои собственные торговые аккаунты и имеют свои контакты в банке-эквайере. Для целей соответствия PCI большинство франчайзи независимы от своих франчайзеров и поэтому франчайзи ответственны за своё соответствие PCI и заполнение любых документов.
В наипростейшем случае франчайзи используют «knuckle-buster» машины и одиночно стоящие терминалы. В этом смысла франчайзи могут заполнять файл Листа самооценки (SAQ) B для декларации соответствия PCI DSS. Другие франчайзи, такие как индустрия быстрого питания, имеют купленные неоптимизированные под свои нужды POS-терминалы. Такой тип установленных систем обычно соответствует требованиям SAQ C.
Однако спасибо технологии интеграции: если франчайзер соответствует PCI, франчайзи могут умыть руки. Наилучший пример технологии создания кошмара PCI для франчайзера – это Speedpass от Exxon/Mobil.
Speedpass является отличным примером удобства для клиентов и, вероятно, одним из наиболее инновационных методов использования технологии RFID. Клиент регистрирует одну или несколько кредитных карт на веб-сайте Exxon/Mobil и получает по почте RFID-метку. На станции обслуживания клиент просто сканирует RFID-метку на логотипе Speedpass на бензиновом насосе, происходит проверка и оплата без прямого использования кредитной карты. С точки хранения соответствия PCI это звучит как очень безопасный подход и в принципе так оно и есть. Однако, так как Speedpass является франчайзи, все операции должны пересылаться через центральный процессинговый центр Exxon/Mobil.
В этом процессинговом центре серийный номер RFID-метки транслируется в номер кредитной карты, который клиент ввел на веб-сайте Exxon/Mobil. Этот номер карты затем используется вместе с торговым номером франчайзера для обработки транзакции. В результате Exxon/Mobil должен соответствовать PCI вместе со всеми своими остальными франчайзи, которые принимают Speedpass.
Урок, который можно вынести из этого случая – это то, что если франчайзер требует от франчайзи обработки транзакций через свой процессинговый центр, то франчайзер ответственен за каждого из франчайзи – каждый должен соответствовать стандарту PCI. Также франчайзер ответственен за мониторинг соответствия всех своих франчайзи.
Допустим, у вас есть франчайзеры, которые интегрировали продажи и управление реестром продукции для получения ежедневных показателей продаж. Допустим, там никогда не появляются данные держателей платежных карт. Большинство таких решений передают свои данные в конце дня по FTP протоколу или другим пакетным методом. Такие типы решений разделяют франчайзера и франчайзи поэтому достижение соответствия PCI достаточно просто. В таких случаях франчайзи просто используют франчайзера как поставщика услуг и документируют своё собственное достижение соответствия PCI.
Однако, в современном мире тотальной интеграции, новые решения полностью включают фронт офис и бэк-офис в единый центр обработки данных, вне зависимости от юридических отношений между сторонами. Франчайзер обычно не принимает транзакции отдельных лиц, он только хочет знать как много продукции было продано и хочет наглядно видеть движение товара в режиме реального времени. Такая интеграция является также ключом к деятельности e-Commerce франчайзеров, как например он-лайн заказ с доставкой, бронирование и другие функции по обслуживанию клиентов. Вся эта интеграция означает, что системы франчайзеров передают франчайзи данные держателей платежных карт и, возможно, пересылают их обратно.
Сгущая краски, добавим, что франчайзер под видом всех этих технологий предоставляет франчайзи службу техподержки и менеджмент по управлению IT процессами. Все бы ничего, но IT персонал франчайзера имеет доступ к сетям франчайзи и к компьютерным системам и, возможно, данным держателей платежных карт. Вне зависимости вовлечены ли данные в этот процесс или нет, франчайзер имеет удаленный доступ к системам франчайзи, что означает, что обе стороны должны соответствовать стандарту PCI.
Наконец, соответствие стандарту PCI франчайзинг-бизнеса означает ответственность каждой из сторон. Если они действительно разделены, то конфликта между ними в отношении соответствия стандарту нет. Однако, когда франчайзер начинает включать в область оценки PCI все технологии или решения своих франчайзи, то франчайзи полагается на то, что франчайзер соответствует PCI, а франчайзер, в свою очередь попадается на крючок PCI compliance.
