Нужно понимать разницу между выполнением требований стандарта PCI DSS и подтверждением выполнения этих требований.
Сам по себе стандарт PCI DSS применим ко всем организациям, обрабатывающим или хранящим данные платежных карт (PAN как минимум). Туда входят и банки, выпускающие эти карты, и магазины (в том числе веб-сайты) принимающие эти карты к оплате и многочисленные сервис-провайдеры, участвующие в этом процессе (платежные шлюзы, агрегаторы платежей и т.п.). Очевидно, что часть требований в том или ином случае просто неприменима - ну откуда, например, у маленького магазина с POS терминалом процессы разработки приложений?
При этом сам стандарт остается применимым и вопросы, например, связанные с контролем физического доступа к POS терминалу, должны быть решены.
Итак, примем за факт, что если есть номера карт в системе - применимые требования PCI DSS нужно выполнять.
Теперь обратимся к требованиям платежных систем (в первую очередь Visa и MasterCard), ведь это именно они определяют, что компании должны делать, чтобы с ними работать.
Именно они определяют различные способы подтверждения выполнения требований стандарта PCI DSS для различных организаций, сами их классифицируют и определяют штрафные санкции за нарушение их требований.
У каждой платежной системы есть своя программа для VISA это Account Information Security (AIS) Programme, описание которой на русском языке можно почитать здесь, для MasterCard это Site Data Protection (SDP) Program, описание которой на русском языке можно почитать здесь.
Программы немного различаются, но очевиден единый подход к оценке риска — чем больше данных платежных карт проходит через организацию, тем более «жесткие» требования к ее проверке на соответствие стандарту. При этом максимальный уровень проверки, это проведение ежегодного аудита с привлечением сертифицированного аудитора QSA, а также проведение ежеквартальных сканирований с привлечением сертифицированной компании ASV, а минимальный уровень проверки это самостоятельное заполнение опросного листа или даже (в случае с MasterCard для торгово-сервисных организаций 3 и 4 уровня) отсутствие каких либо требований – их определяет банк эквайер.
Несмотря на то, что в принципе подход единый требования по отчетности и область, которую нужно проверять при аудите, немного разные. Но это тема уже следующей публикации…
Максим Эмм,
QSA, CISA, CISSP, MBA
