Главная Безопасность платежей в торгово-сервисных предприятиях

Программа безопасности

Программа безопасности — это стандарт ПС «Мир». Он устанавливает требования к защите информации при обработке данных платежных карт ПС «Мир».
Тематические новости, анонсы мероприятий, напоминания о предстоящих событиях читайте в Дайджесте программы безопасности

В Программе безопасности указано требование о необходимости соблюдения ТСП стандарта Payment Card Industry Data Security Standard (PCI DSS).

ТСП должны подтверждать своё соответствие стандарту PCI DSS и сообщать о статусе своего соответствия Банку-эквайреру, в котором они обслуживаются. Информировать Банк-эквайрер надо каждый раз после оценки соответствия.

Специальная программа для ТСП

Стандарт PCI DSS

Форма оценки соответствия PCI DSS зависит от уровня ТСП. Уровень присваивается каждому ТСП, исходя из того, сколько операций по картам «Мир» в год обрабатывает ТСП и в какой среде (торговый эквайринг или электронная коммерция).

ТСП следует обращаться в обслуживающий его Банк-эквайрер по всем вопросам, связанным с определением уровня ТСП и оценкой соответствия PCI DSS.

Все Банки-эквайреры в ПС «Мир» отвечают за соблюдение подключенными ТСП требований по безопасности ПС «Мир». Это значит, что независимо от того, в каком Банке-эквайрере обслуживается ТСП, от него будут требовать соблюдения требований ПС «Мир».

Невыполнение положений Программы безопасности является нарушением Банком-эквайрером требований Правил и Стандартов ПС «Мир». За такие нарушения Оператор (АО НСПК) может взыскать штраф в соответствии с Правилами ПС «Мир». Обращаем внимание, что взаимодействие Банка-эквайрера и ТСП регулируется договорами, заключенными между ними.

Банки-эквайреры отчитываются перед ПС «Мир» о соответствии своих ТСП требованиям PCI DSS, так ПС «Мир» контролирует соблюдение ТСП требований Программы безопасности. Для ТСП с торговым эквайрингом действует Специальная программа. Она позволяет ТСП не проводить ежегодную оценку соответствия по PCI DSS.

Уровень ТСП

УровеньL1 УровеньL2 УровеньL3 УровеньL4

Среда обработки

Торговый эквайринг или электронная коммерция

Только электронная коммерция

Торговый эквайринг или электронная коммерция

Число операций (в год)

от 6 млн

1 млн — 6 млн

20 000 — 1 млн

Остальные (менее 20 000 в среде электронной коммерции или менее 1 млн по торговому эквайрингу)

Форма оценки соответствия PСI DSS

Ежегодный¹ Сертификационный аудит или ISA-аудит

Ежегодный^1,3 Сертификационный аудит или ISA-аудит

Ежегодная самооценка

На усмотрение Банка-эквайрера – аудит или самоценка

ASV-сканирование² каждые 90 дней

На усмотрение Банка-эквайрера

Отчётные документы

Аттестат соответствия (AOC) с результатами проверки по всем требованиям PCI DSS

Аттестат соответствия (AOC) с результатами проверки по требованиям Этапа 1 и 2

Лист самооценки (SAQ)

На усмотрение Банка-эквайрера (Аттестат соответствия (AOC) или Лист самооценки (SAQ))

Если в ТСП произошла компрометация карт ПС «Мир», то ему присваивается уровень L1 на один год, начиная с даты выявления факта компрометации. Такое ТСП должно выполнять требования для ТСП уровня L1.

1. Аудит должен проводиться QSA-аудитором, аккредитованным PCI SSC и указанным на сайте, внутренним аудитором (ISA), прошедшим обучение, сертифицированные по программе Совета PCI SSC и указанным на сайте.

2. ASV-сканирование должно выполняться с использованием ASV-решения от поставщика, аккредитованным PCI SSC и указанным на сайте

3. Аудит проводится по группе требований не в полном объеме, а в объеме Этапа 1 и Этапа 2 Концепции
приоритетного подхода к достижению соответствия PCI DSS

Вопросы и ответы

Что считать ТСП: юридическое лицо/индивидуальный предприниматель или точка продаж?

ТСП — это юридическое лицо или индивидуальный предприниматель. Если у юридического лица или индивидуального предпринимателя есть несколько точек продаж, то отдельная точка продаж не должна классифицироваться как отдельное ТСП.

Кто устанавливает уровень ТСП?

Уровень ТСП определяется Банком-эквайрером на основании документа «Программа безопасности ПС „Мир“».

Каковы критерии применимости требования проводить ASV-сканирование?

Должно проводиться ASV-сканирование систем и сервисов, доступных из Интернет, которые используются для реализации платежных бизнес-процессов и/или влияют на безопасность систем, входящих в область действия PCI DSS.

Количество операций в ТСП изменилось (в большую или меньшую сторону) и изменился уровень ТСП. Что необходимо делать ТСП при изменении его уровня?

ТСП должно провести оценку соответствия в той форме, которую предполагает новый уровень, в течение года с момента изменения уровня.

Кому предоставлять отчетные документы об ежегодной оценке соответствия?

По завершении оценки соответствия ТСП должно предоставить отчетные документы Банку-эквайреру, который запросил свидетельства.

Существует ли для ТСП уровня L1 или L2 возможность не проводить сертификационный аудит и ASV-сканирование?

Для ТСП, которые принимают платежи в среде электронной коммерции, нет возможности отмены оценки соответствия. Для ТСП с наземным эквайрингом есть возможность не проводить оценку соответствия. При соответствии ряду критериев Банк-эквайрер может включить ТСП в Специальную программу подтверждения соответствия ТСП требованиям безопасности. На время участия в Спецпрограмме ТСП освобождается от обязанности проводить сертификационный аудит и ASV-сканирование. Специальная программа для ТСП

ТСП присвоен уровень L4. Можно ничего не делать?

ТСП должно выполнять применимые к нему требования PCI DSS и отчитываться перед Банком-эквайрером, в котором обслуживается ТСП. Сроки и форму отчетности для ТСП уровня L4 устанавливает Банк-эквайрер.