Платежная система MasterCard внесла изменения в программу Site Data Protection (SDP), чтобы помочь
- изменения в структуре оценки несоответствия SDP;
- новое требование для ТСП 1 и 2 уровня — необходимо приглашать компанию, имеющую статус PCI QSA, для проведения
onsite-аудита ; - изменение в классификации — все сторонние процессинги независимо от объема транзакций и организации хранения данных с количеством транзакций более 300 000 в год классифицируются как
сервис-провайдеры 1 уровня; - изменение в классификации — организации хранения данных с ежегодным объемом менее 300 000 транзакций классифицируются как
сервис-провайдеры 2 уровня; - предоставление отчетов с использованием Приоритезированного подхода (Prioritized Approach).
Торгово-сервисные предприятия
Теперь все ТСП 1-го уровня должны обращаться к сертифицированному аудитору QSA для проведения onsite-аудита и подтверждать соответствие. Сразу ли это вступает в силу?
Все ТСП 1-го уровня, которые провели аудит с привлечением собственного аудитора до 15 июня 2009 года, должны подтвердить соответствие PCI DSS посредством ежегодного onsite-аудита, проведенного QSA, до 31 декабря 2010 года.
Правда ли, что MasterCard потребует от ТСП 2-го уровня проводить ежегодный аудит мер обеспечения безопасности с привлечением QSA?
MasterCard объявила пересмотренные требования к ТСП 2-го уровня: необходимо пригласить QSA для выполнения обязательного ежегодного onsite-аудита до 31 декабря 2010 года.
Когда были произведены изменения и почему?
Изменения были представлены в MasterCard Global Security Bulletin № 6 от 15.06.2009, который был распространен непосредственно эквайерам и процессорам, являющимся членами системы MasterCard. Данное расширение требований программы обеспечивает непрерывный контроль выполнения и применения требований PCI DSS независимой третьей стороной.
Теперь все ТСП 2-го уровня должны обращаться к сертифицированному аудитору QSA для проведения onsite-аудита и затем подтверждать соответствие. Это вступает в силу немедленно?
Все ТСП 2-го уровня должны завершить аудит, проводимый ежегодно компанией QSA, к 31 декабря 2010 года. Пока еще ТСП 2-го уровня могут подтверждать соответствие PCI путем заполнения самоопросника (SAQ), однако к 31 декабря 2010 года, ТСП 2-го уровня уже должны подтвердить соответствие с помощью ежегодного onsite-аудита.
Какие шаги MasterCard предлагает предпринять предприятиям 1-го и 2-го уровня для того, чтобы завершить onsite-аудит к требуемому сроку 31 декабря 2010?
Чтобы выполнить это требование к крайнему сроку 31 декабря 2010, MasterCard настоятельно рекомендует всем ТСП 1-го и 2-го уровня немедленно обратиться к компании QSA.
Как изменения в SDP влияют на ТСП 3-го уровня?
Требования к ТСП 3-го уровня остаются неизменными. Сроком соответствия PCI для ТСП 3-го уровня был июнь 2005 года.
Что такое QSA в понимании MasterCard?
Сертифицированным аудитором систем безопасности (Qualified Security Assessor, QSA) является компания, сотрудники которой индивидуально прошли тренинги и экзамены, проводимые Консулом стандартов безопасности (Security Standards Council, SSC). Компания должны быть указана в списке, доступном на сайте Консула: https://www.pcisecuritystandards.org/qsa_asv/find_one.shtml
Могут ли ТСП использовать собственных сотрудников, сертифицированных QSA для проведения оценки на месте?
Консул PCI удостоверяет только тех аудиторов QSA, которые работают на организации, которые были рассмотрены и утверждены для работы в качестве компании QSA. Предприятия должны обращаться к компаниям QSA, сертифицированных Консулом PCI, для проведения ежегодного onsite-аудита. Компании QSA ежегодно проходят обучение и утверждены посредством программы проверки качества, которой управляет PCI SSC. QSA компании, сертифицированные Консулом PCI, перечислены здесь: https://www.pcisecuritystandards.org/qsa_asv/find_one.shtml
Если ТСП подтверждает соответствие PCI ежегодно в середине календарного года, то датой применения требований программы будет конец календарного года или дата через год после отправки уведомления в платежную систему?
Дата повторной сертификационной проверки наступает через один год с момента утверждения соответствия стандарту предприятием с банком-эквайером, однако предприятию стоит уточнять даты проверки соответствия у соответствующего ему банка-эквайера.
При увеличении объема транзакций у ТСП или его переклассификации с одного уровня до другого (например, переход с 4-го уровня до 3-го), за какое время ТСП должно подтвердить соответствие?
Банк-эквайер должен гарантировать в отношении каждого ТСП, которое переходит от одного уровня PCI к другому, что предприятие достигает и подтверждает соответствие PCI так быстро, насколько это реально, но не позже одного года после даты переклассификации.
За какое время недавно подключенное ТСП, подпадающее под требования программы SDP, должно подтвердить соответствие PCI?
Сроки приведения в соответствие PCI прошли, и ТСП должны подтвердить соответствие PCI к началу работы. Оптимально банкам-эквайерам следует подключать те ТСП, которые уже сертифицированы по стандарту PCI DSS. Таким образом торгово-сервисное предприятие не сможет менять банки-эквайеры, чтобы избежать процедур приведения в соответствие PCI.
Что MasterCard требует от эквайера в качестве подтверждения?
Информация о соответствии PCI сообщается в MasterCard ежеквартально посредством отправки формы «Acquirer Submission and Compliance Status Form». Как только торгово-сервисное предприятие устанавливает соответствие PCI, оно должно зарегистрироваться в программе MRP (MasterCard Registration Program). После этого ТСП становится “SDP Compliant” (соответствующим требованиям программы SDP). Чтобы найти «Acquirer Submission and Compliance Status Form», пожалуйста, посетите веб-сайт www.mastercard.com/sdp. Пожалуйста, обратите внимание, что MasterCard не принимает документы о соответствии торгово-сервисных предприятий напрямую. Торгово-сервисные предприятия должны связываться с банком-эквайером.
Если торгово-сервисное предприятие 2-го уровня привлекает сторонний процессинг, и в настоящее время с помощью SAQ типа A свидетельствует, что оно не хранит, не обрабатывает или не передает данные платежных карт, т.к. используется сертифицированный сторонний процессинг, должно ли оно проводить onsite-аудит вместо заполнения самоопросника SAQ типа A?
Поскольку ТСП 2-го уровня подтверждает, что оно не обрабатывает данные пластиковых карт, и используемый сторонний процессинг привлекает аудитора QSA для проведения onsite-аудита, ТСП 2-го уровня может по прежнему использовать SAQ типа A для подтверждения соответствия.
Заменяет ли Приоритезированный подход PCI DSS 1.2?
Нет. Всем предприятиям, которые соприкасаются с данными платежных карт, необходимо достигнуть и поддерживать соответствие PCI DSS 1.2. Приоритезированный подход не заменяет стандарт.
Почему MasterCard требует от эквайеров представить отчет о соответствии ТСП, используя Приоритезированный подход?
Приоритезированный подход помогает эквайерам и MasterCard определить уровень мероприятий, выполненных ТСП, для соответствия PCI DSS и помогает измерить степень риска, связанного с несоответствием.
Если я эквайер, как я буду сообщать MasterCard о ходе исполнения Приоритезированного подхода?
При подготовке новой версии «Acquirer Submission and Compliance Status Form» эквайеры могут использовать информацию из Приоритезированного подхода, которую используют ТСП и сервис-провайдеры для того, чтобы измерить и отследить прогресс достижения соответствия.
Является ли Приоритезированный подход кратчайшим путем к соответствию PCI?
Нет. Приоритезированный подход помогает организациям понять, где они должны приложить усилия в первую очередь для обеспечения безопасности данных платежных карт. Все требования PCI DSS 1.2 должны быть соблюдены и поддерживаться в целях обеспечения соответствия.
Каких организаций касаются шесть новых разделов, связанных с Приоритезированным подходом, в форме «MasterCard Acquirer Submission and Compliance Status Form»?
Шесть новых разделов необходимо заполнять торгово-сервисным предприятиям, использующим SAQ типа D, и ТСП, проводящих onsite-аудит.
Сервис-провайдеры
Как недавние изменения программы SDP затрагивают сервис-провайдеров?
Организации хранения данных (DSE) с более чем 300,000 транзакций в год теперь считаются поставщиками услуг 1-го уровня.
Что MasterCard требует от эквайера в качестве подтверждения: копию AOC, SAQ или копию результатов сканирования сети?
MasterCard требует, чтобы все вновь выявленные поставщики услуг сначала зарегистрировались в качестве MSP (Member Service Provider), связавшись с группой, ответственной за регистрацию MSP в MasterCard. С группой MSP можно связаться по email: member_service_provider@mastercard.com.
Заметьте, что один или более банков-участников может ввести сервис-провайдера в систему. Если сервис-провайдер имеет прямую связь с одним или более банков членов MasterCard, то он должен обращаться к каждому из них за отдельной регистрацией. Если сервис-провайдер не имеет прямой связи ни с одним из членов MasterCard, то он должен получить поддержку банка своего клиента, чтобы ввести себя в систему (клиентом может быть как ТСП, так и другой сервис-провайдер, например, сторонний процессинг, многие из которых имеют прямые связи с банками-членами MasterCard).
После того, как поставщик услуг регистрируется в MasterCard, он обязан подтвердить соответствие PCI. Все сторонние процессинги (независимо от объема) и DSE с более чем 300 000 транзакций в год, должны успешно пройти onsite-аудит и ежеквартальное сканирование сети и отправить результат на PCIReports@mastercard.com.
Результат сертификационной проверки в виде аттестата соответствия (или сертификата проверки) должен быть представлен только один раз в год для удовлетворения требований SDP. Форма аттестата соответствия должна быть заполнена сертифицированным аудитором QSA и отправлена им на PCIReports@mastercard.com
Заметьте, что с 1 января 2009 года MasterCard больше не будет вносить в список тех поставщиков услуг, которые отправили только самоопросник SAQ. Публиковаться будут только те организации, которые успешно завершили ежегодный onsite-аудит.
Как сервис-провайдер может быть включен в список сервис-провайдеров, соответствующих PCI DSS на сайте SDP?
С 1 января 2009 года MasterCard больше не будет вносить в список тех поставщиков услуг, которые отправили только самоопросник SAQ. В списке будут содержаться только организации, которые успешно проводят ежегодный onsite-аудит и предоставили MasterCard подтверждающий сертификат.
Где сервис-провайдер может найти последние версии Service Provider PCI Action Plan?
Пожалуйста, напишите на sdp@mastercard.com и запросите последнюю версию.
Где можно найти форму Attestation of Compliance?
Пожалуйста, посетите www.pcisecuritystandards.org.
