Безопасность платежей

Этот сайт поможет разобраться в основных требованиях ПС «Мир» по безопасности. Он содержит актуальную информацию и рекомендации, которые помогут ТСП организовать безопасный прием карт и иных платежных инструментов ПС «Мир».

Требования ПС «Мир» по безопасности, указывающее на необходимость соблюдения PCI DSS, изложены в Стандарте ПС «Мир» «Программа безопасности».

Банковские карты могут приниматься в ТСП разными способами:

1

Без предъявления карты

В среде электронной коммерции или по телефону.

2

С предъявлением карты

В терминалах оплаты

Карты могут быть скомпрометированы злоумышленниками в ТСП независимо от используемого способа приема карт. Без необходимой защиты, риски компрометации могут быть высокими. Обычно злоумышленники пытаются получить реквизиты карт для проведения несанкционированных операций. Для снижения таких рисков в ПС «Мир» установлены требования для защиты данных карт.

Все организации, которые обрабатывают, передают или хранят данные карт «Мир», а также организации, которые не хранят, не передают и не обрабатывают данные карт «Мир», но имеют возможность влиять на безопасность данных карт «Мир» должны выполнять требования стандарта Payment Card Industry Data Security Standard (PCI DSS).

Требования по безопасности предъявляются, чтобы защитить Держателей карт «Мир» от несанкционированных операций.

НСПК ведет список Платежных сервис-провайдеров, подтвердивших свое соответствие требованиям стандарта PCI DSS по результатам сертификационного аудита и предоставивших НСПК необходимое свидетельство. НСПК публикует этот список для информирования заинтересованных лиц. Список обновляется не реже одного раза в месяц.

Список Платежных сервис-провайдеров, соответствующих требованиям стандарта
PCI DSS


НСПК ведет список Платежных сервис-провайдеров, подтвердивших свое соответствие требованиям стандарта PCI DSS по результатам сертификационного аудита и предоставивших НСПК необходимое свидетельство. НСПК публикует этот список для информирования заинтересованных лиц. Список обновляется не реже одного раза в месяц.

Для приема платежей по картам «Мир» ТСП могут привлекать сторонние организации, которые не являются Банками-эквайрерами. Такие организации помогают ТСП подключиться к Банкам-эквайрерам и могут предоставлять программные или технические средства для приема платежей по картам. Эти организации называются Платежными сервис-провайдерами. В зависимости от количества обрабатываемых Платежным сервис-провайдером операций по картам «Мир» за год, установлены требования по подтверждению соответствия и отчетности Платежных сервис-провайдеров перед НСПК и банками, с которыми они взаимодействуют.

Требования для платежных сервис-провайдеров разных уровней

уровень
Тип организации
требования
L1
ТРР
Платежные сервис- провайдеры, обрабатывающие в год более 300 000 операций по картам ПС «Мир»

Ежегодный сертификационный аудит с привлечением QSA-аудитора.1
 
L2
Платежные сервис-провайдеры (за исключением ТРР), обрабатывающие в год менее 300 000 операций по картам ПС «Мир»
Ежегодная самооценка.
Ежеквартальное ASV-сканирование
  • 1. Аудит должен проводиться QSA-аудитором, аккредитованным PCI SSC и указанным на сайте
  • 2. ASV-сканирование должно выполняться с использованием ASV-решения от поставщика, аккредитованного PCI SSC и указанного на сайте