Австралия: Как хранить данные банковских карт?

Заметка Эммы Харрис (Emma Harris – на фото) была опубликована 22 марта 2016 года на сайте Управления государственных документов австралийского штата Новый Южный Уэльс, посвящённом инициативе «Выдержать проверку временем – защитить наше электронное будущее» (Future Proof – Protecting our digital future).

За последнее время к нам поступил ряд запросов от организаций по поводу хранения данных кредитных карт. В частности, организации хотят знать, как сохранять эти данные таким образом, чтобы соответствовать требованиям стандарта «Отрасль платежных карт – Безопасность данных» (Payment Card Industry – Data Security Standard, PCI-DSS, https://www.pcisecuritystandards.org/security_standards/documents.php ),  разработанного в целях поощрения и повышения безопасности данных о держателях карт и применимого в любых организациях, которые хранят, обрабатывают или передают данные о держателях карт.

В настоящий момент данная проблема является, судя по всему, общей для организаций, и не только в Новом Южном Уэльсе - наши коллеги из Архивов штата Квинсленд только что опубликовал ряд советов по этому самому вопросу для государственных организаций и учреждений штата (см. http://grkblog.archives.qld.gov.au/2016/03/21/a-change-is-on-the-cards/ ), и также эта тема обсуждалась на листсерв-форуме Ассоциации специалистов Австралазии по управлению документами и информацией (Records and Information Management Professionals Australasia, RIMPA, http://rimpa.com.au/resources/rim-mailing-list-faq/ ).

Обрабатывающие электронные финансовые транзакции государственные учреждения Нового Южного Уэльса должны захватить и управлять данными в соответствии со стандартом PCI-DSS:

• Стандарт запрещает организациям сохранять определенные «чувствительные» аутентификационные данные (например, данные по проверке карты и персональный идентификационный номер (PIN-код)) после того, как процесс аутентификации был завершен;


• Стандарт требует от организаций свести к минимуму сроки хранения дополнительных данных о держателях карт (таких, как номер счета, имя держателя карты, срок действия и т.д.) путем внедрения политик, процедур и процессов хранения и уничтожения данных.

Типовые перечни административных документов, документов местных органов власти и национальных органов, выпущенные Управлением государственных документов штата ( http://www.records.nsw.gov.au/recordkeeping/rules/retention-and-disposal-authorities/general-retention-and-disposal-authorities ) содержат указания по cрокам хранения данных кредитных карт:

• Для данных о держателях карт установлен минимальный срок хранения 3 месяца, дающий время для того, чтобы сверить сведения о ежемесячных платежах. По истечении этого срока допускается уничтожение данных в соответствии с проведенной организацией оценкой своих специфических правовых, нормативных и деловых потребностей в их сохранении.


• Уничтожение чувствительных аутентификационных данных разрешается по завершении транзакции.

Один из участников дискуссии на форуме RIMPA отметил следующее:

«Данные кредитной карты предназначены для хранения в течение очень короткого периода времени – можно сказать, что платеж в большей степени является транзакцией между коммерческой организацией и компанией - эмитентом кредитной карты (деньги поступают от неё, а не от клиента), а не с физическим лицом. По сути дела платежная система зафиксирует платеж как принятый, получив сведения с магнитной полосы, дополнительный защитный код CVV (при необходимости) и PIN-код.»

Архивы Квинсленда в своих рекомендациях государственным органам штата ( http://grkblog.archives.qld.gov.au/2016/03/21/a-change-is-on-the-cards/ ) указали на ряд моментов, на которые следует обратить внимание при разработке и внедрении стратегий управления документами по транзакциям с использованием кредитных карт:

• Ни в коем случае не следует сохранять чувствительные аутентификационные данные;


• Стандарт PCI-DSS требует, чтобы номера счетов (номера карт) при хранении делались нечитаемыми. Если система, в которой Ваша организация хранит данные кредитных карт, не может выполнить это требование, то Вашей организации не следует захватывать эту информацию в свою систему;


• Прочие данные о держателе карты (помимо чувствительных аутентификационных данных) должны храниться только если в этом есть обоснованная нормативно-правовая или деловая потребность. По истечении минимального срока хранения Ваша организация должна уничтожить данные, если нет веских оснований для их дальнейшего сохранения;


• Если документы о транзакциях с картами включают иную информацию, помимо данных о держателях карт, и Вашей организации эта информация нужна в течение определенного периода времени после завершения транзакции, то данные о держателях карт должны быть сохранены или отредактированное таким образом, чтобы соответствовать требованиям стандарта PCI-DSS. Если системы и процессы Вашей организации не в состоянии этого обеспечить, или же если для этого потребуется использовать сложные обходные пути, Вы можете подумать о введении новых процессов, обеспечивающих, чтобы все новые данные о держателях карт не захватывались вместе с другой информацией. Это будет означать, что Вы сможете легко уничтожить данные о держателях карт по истечении потребности в них, сохраняя при этом другую информацию до тех пор, пока она нужна.


• Внедрение и документирование процесса захвата и управления документами по транзакциям с кредитными картами имеет важное значение. Это обеспечит понимание всеми сотрудниками того, какие данные должны быть захвачены и сохранены, а какие могут быть уничтожены. Введение этого процесса потребует проведения консультаций с теми сотрудниками, которые получают, обрабатывают и используют данные о держателях карт.

Эмма Харрис (Emma Harris)

Источник: сайт архивно-документационной службы штата Новый Южный Уэльс, Австралия
http://futureproof.records.nsw.gov.au/records-and-information-management-faqs-retention-of-credit-card-data/