/Revised Implementation of PCI DSS Framework for VisaNet Processors/
Visa пересмотрела требования подтверждения соответствия стандартам PCI DSS для VisaNet Processrs — VNP (процессоров, подключенных напрямую).
Изменения, коснувшиеся Участников региона Visa CEMEA:
1. VisaNet эмитенты
БЫЛО ТРЕБОВАНИЕ: VisaNet процессоры, которые обрабатывают только свои карты, в настоящее время обязаны подтвердить свое соответствие PCI DSS и предоставить отчет в Visa.
СТАЛО: VisaNet процессоры, которые обрабатывают только свои карты, исключены из этого требования. Такие VisaNet процессоры должны соответствовать стандартам PCI DSS, но им не нужно предоставлять отчет в Visa.
2. VisaNet банки-эквайеры
БЫЛО ТРЕБОВАНИЕ: Банки-эквайеры VisaNet процессоры в настоящее время обязаны полностью соответствовать Стандартам к 30 сентября 2010.
СТАЛО: к 30 сентября 2011 Банки-эквайеры VisaNet процессоры обязаны предоставить в Visa первичный отчет PCI DSS или Анкету Самооценки (Self-Assessment Questionnaire), идентифицирующие их уровень соответствия. Это заменяет ранее обозначенные дату и требование для этих типов VisaNet процессоров.
3. Банки-эквайеры VisaNet процессоры обязаны подтвердить свое соответствие Стандарту как минимум в соответствии со следующими уровнями:
| Уровень |
Описание |
Минимальные требования |
| 1 |
Хранит, обрабатывает и/или передает более 300 000 транзакций по картам Visa в год |
Ежегодный Отчет о соответствии, предоставляемый Квалифицированным аудитором (QSA) или по итогам внутреннего аудита;Ежеквартальное сканирование сети cертифицированным Скан-вендором;Форма аттестации и соответствии
|
| 2 |
Хранит, обрабатывает и/или передает менее 300 000 транзакций по картам Visa в год |
Ежеквартальный Лист самооценки;Ежеквартальное сканирование сети сертифицированным Скан-вендором;Форма аттестации и соответствии.
|
Банки-эквайеры VisaNet процессоры, обрабатывающие и/или передающие менее 300 000 транзакций по картам Visa в год, могут подтвердить свое соответствие Стандарту путем заполнения Анкеты самооценки вместо прохождения проверки на месте. Анкету должен подписать уполномоченный представитель Банка.
Таким образом, подведя итог по всем требованиям, на текущий момент существует следующие сроки:
1) Сторонние VisaNet процессоры (т. е. организации, подключенные напрямую к VisaNet и предоставляющие услуги выпуска и/или обслуживания платежей членам МПС, мерчантам или сервис-провайдерам), должны:
к 30 сентября 2010 года предоставить отчет о полном соответствии стандарту PCI DSS как Сервис-провйдеры уровня 1;
к 30 сентября 2010 года организации-спонсоры должны запросить гарантии соответствия стандарту сторонних VNP-организаций;.
2) Члены VNP, которые являются Сервис-провайдерами, должны:
к 30 сентября 2010 года предоставить отчет о полном соответствии стандарту PCI DSS как сервис-провайдеры 1 уровня;
3) Члены VNP, обрабатывающие транзакции только по своим картам, обязаны:
к 30 сентября 2010 года предоставить платежной системе Visa полный отчет о хранении запрещенных данных (напр., CVV, CVV2 или PIN BLOCK) после авторизации в своих системах, и если они хранят, то предоставить в Visa план действий по исправлению ситуации;
Примечание: те Банки-эквайеры VisaNet процессоры, которые предоставили такой отчет в 2009 году, не должны его заново предоставлять.
к 30 сентября 2011 предоставить первичный отчет PCI DSS (или Анкету Самооценки Self-Assessment Questionnaire), идентифицирующий их уровень соответствия. Если полного соответствия не достигнуто, то предоставить в Visa план действий по достижению соответствия;
подтвердить свое соответствие Стандарту как минимум в соответствии с вышеуказанными уровнями (см. таблицу выше).
4) Все новые члены VNP, включая существующих процессоров, реализующих новые подключения к Visa, должны соответствовать требованиями Visa, включая:
перед подключением к VNP, организация обязан полностью подтвердить свое соответствие PCI DSS.
Все организации, которым нужно подтвердить соответствие Стандарту, обязаны делать это каждые 12 месяцев. Visa может наложить штрафы, если участник международного обмена не соответствует требованиям, описанным выше.
Полная информация по программе соответствия PCI DSS Visa в документе Visa Account Information Security Program Guide
