14 июля 2009 года международная платежная система Visa Inc. опубликовала крайний срок приведения платежных приложений в полное соответствие стандарту PCI PA-DSS (Payment Card Industry Payment Application Data Security Standards) –
С целью исключения использования небезопасных приложений в своей сети Visa определила ряд предписаний, реализация которых должна быть завершена в ближайшие несколько лет.
Данные предписания потребуют от клиентов системы Visa использовать только сертифицированные приложения и работать только с торгово-сервисными предприятиями (англ. merchants, далее ТСП) и агентами, использующими сертифицированное по стандарту PA-DSS программное обеспечение.
Эти требования распространяются на все регионы действия Visa Inc., в том числе и на Россию.
Процесс исключения из использования небезопасных платежных приложений включает в себя 2 этапа:
| Этап | Предписание | Дата вступления в силу |
| 1 | Новые ТСП, использующие платежные приложения, обязаны соответствовать PCI DSS или использовать ПО, соответствующее PA-DSS | 1 июля 2010 |
| 2 | Эквайеры обязаны удостовериться, что все ТСП и агенты используют ПО, соответствующее PA-DSS | 1 июля 2012 |
Этап 1 (01.07.2010)
Банки-эквайеры обязаны подключать только те новые ТСП, которые соответствуют PCI DSS или используют ПО, соответствующее PA-DSS. Новое ТСП – это предприятие, которое производит открытие нового счета для приема кредитных карточек, при этом дополнительные торговые точки уже существующих ТСП не рассматриваются как новые предприятия, однако банки-эквайеры должны всячески содействовать обеспечению приведения в соответствие стандарту PA-DSS программного обеспечения в данных торговых точках.
Этап 2 (01.07.2012)
Банки-эквайеры сети Visa должны убедиться, что все ТСП и агенты используют приложения, соответствующие PA-DSS.
На втором этапе предписывается использование платежных приложений, поддерживающих выполнение требований стандарта PCI DSS. От банков-эквайеров требуется:
- убедиться в том, что все их ТСП и агенты (и новые, и существующие) используют приложения, соответствующие PA-DSS;
- исключить использование известных уязвимых платежных приложений (https://www.us.visaonline.com/us_riskmgmt/cisp/default.asp).До тех пор пока использование приложений, сертифицированных по стандарту PA-DSS, носит рекомендательный характер, не возбраняется использование приложений, не опубликованных на сайте PCI SSC (List of Validated Payment Applications). Банки-эквайеры могут проверить любыми другими способами, сертифицировано ли платежное приложение на соответствие стандарту PA DSS.
Более подробная информация о применении стандарта PA DSS и об услуге по сертификации платежных приложений на соответствие стандарту приведена на сайте Информзащиты http://www.infosec.ru/services/audit/audit/pa_dss/
