MasterCard Site Data Protection (SDP) Program

Программа MasterCard SDP была разработана, чтобы помочь торгово-сервисным предприятиям (ТСП), сервис-провайдерам — сторонним процессингам (Third Party Processors, TPPs) и организациям хранения данных (Data Storage Entities, DSEs) — упредительно обеспечить собственную защиту и всей платежной системы в целом от угроз компрометации.

Ключевой деятельностью программы SDP является обеспечение безопасного хранения ТСП и сервис-провайдерами данных учетных записей MasterCard в соответствии со стандартом безопасности данных в индустрии платежных карт (PCI DSS).

ТСП и сервис-провайдерам важно понимать их положение в программе MasterCard SDP для определения обязательных процедур подтверждения соответствия. Классификация организаций по уровням приведена ниже.

Табл. 1. Уровни торгово-сервисных предприятий и необходимые процедуры

Торгово-сервисные предприятия (Merchants)
Уровень	Критерий	Требования
1	– все ТСП, с ежегодным оборотом более 6 миллионов транзакций ежегодно по картам MasterCard и Maestro; – все ТСП, пострадавшие от взлома или атаки, результатом которого была утечка данных; – все ТСП, соответствующие уровню 1 другой платежной системы; – любое ТСП, которое было отнесено к уровню 1, по усмотрению MasterCard.	– аудит, выполняемый QSA – ежегодно (все ТСП, проводившие аудит с помощью внутреннего аудитора до 15 июня 2009, обязаны подтвердить соответствие путем проведения onsite-аудита, выполняемого PCI QSA, до 31 декабря 2010); – заполнение самоопросника (the self-assessment questionnaire) – не требуется; – сканирование сети, выполняемое ASV – ежеквартально; – выполнение процедур подтверждения соответствия обязательно с 30 июня 2005 г.
2	– все ТСП с оборотом более 1 миллиона, но менее либо равным 6 миллионам транзакций ежегодно по картам MasterCard и Maestro; – все ТСП, соответствующие уровню 2 другой платежной системы.	– аудит, проводимый QSA – ежегодно; – заполнение самоопросника – ежегодно до 31 декабря 2010; – сканирование сети – ежеквартально; – начальные процедуры проверки соответствия должны быть выполнены до 31 декабря 2010 г.
3	– все ТСП, количество транзакций электронной торговли по MasterCard и Maestro превышает 20 000 в год, но общее количество транзакций электронной торговли по MasterCard и Maestro не превышает 1 миллиона; – все ТСП, соответствующие уровню 3 другой платежной системы.	– аудит, проводимый QSA – не требуется; – заполнение самоопросника – ежегодно; – сканирование сети – ежеквартально; – выполнение процедур подтверждения соответствия обязательно с 30 июня 2005 г.
4	все другие ТСП; ТСП должны соответствовать PCI DSS; По вопросу подтверждения соответствия стандарту ТСП необходимо проконсультироваться с эквайером	– оценка соответствия, проводимая QSA – не требуется; – заполнение самоопросника – ежегодно; – сканирование сети – ежеквартально; – о дате выполнения процедур проверки соответствия необходимо проконсультироваться с эквайером.

Табл. 2. Уровни сервис-провайдеров и необходимые процедуры

Сервис-провайдеры (Service Providers)

Уровень

Критерий

Требования

– все сторонние процессинги (Third-Party Processors, TPPs);

– все организации хранения данных (DSE), которые хранят, передают или обрабатывают ежегодно более 300 000 транзакций MasterCard и Maestro в совокупности.

– аудит, проводимый QSA – ежегодно;

– сканирование сети, проводимое ASV – ежеквартально.

– все организации хранения данных (DSE), которые хранят, передают или обрабатывают ежегодно менее 300 000 транзакций MasterCard и Maestro в совокупности.

– заполнение самоопросника – ежегодно;

– сканирование сети, проводимое ASV – ежеквартально;

MasterCard оказывает содействие эквайерам по программе SDP для поддержания безопасной инфраструктуры с торгово-сервисными предприятиями. Эквайеры сами по себе не обязаны проходить процедуры соответствия SDP, но они должны управлять этим процессом для своих ТСП.

Эквайеры должны:

Ежеквартально высылать заполненную форму «SDP Acquirer Submission and Compliance Status Form» по адресу sdp@mastercard.com, в которую включен список всех ТСП и сервис-провайдеров (хранящих данные для указанных ТСП), которые должны соответствовать PCI DSS в течение каждого периода действия положения о программе SDP. Для каждого ТСП эквайеры должны предоставить:
- название ТСП;
- идентификационный номер ТСП (Merchant ID);
- код категории ТСП (Merchant category code, MCC);
- уровень ТСП (см. табл. 1);
- статус соответствия стандарту;
- название каждого сервис-провайдера , хранящего учетные данные MasterCard, работающего с данным ТСП;
- количество проведенных транзакций ТСП за предыдущий отчетный период (12 месяцев).
Развернуть программу безопасности SDP для всех ТСП в соответствии с расписанием внедрения SDP.
Убедиться, что ТСП соответствуют PCI DSS путем использования надлежащих инструментов проверки соответствия, включающие onsite аудиты безопасности, заполнение самоопросников (the self-assessment questionnaire) и сканирования сети.
Зарегистрировать ТСП, как только они докажут своё соответствие требованиям положения о программе SDP. Данный процесс регистрации осуществляется непрерывно в течение года с помощью программы регистрации MasterCard (MasterCard Registration Program, MRP). MasterCard отмечает, что регистрация ТСП, соответствующих SDP, бесплатна в программе регистрации MRP, доступной посредством MasterCard OnLine.

Источник