Visa Account Information Security Programme
Применимость стандарта безопасности данных PCI в организациях
Необходимо соответствовать программе AIS всем организациям, которые хранят, обрабатывают или передают данные платежных карт VISA. Программа применима ко всем платежным каналам, включая розничные, почтовые/телефонные и электронной коммерции. Сюда входят участники Visa, торгово-сервисные предприятия, сторонние процессоры третей стороны, поставщики шлюзов и сервисов интернет платежей,и другие сторонние поставщики сервисов, таких как сетевые провайдеры, поставщики средств резервного копирования, веб-хостинг.
Обязанность участников Visa — обеспечивать соотвествие их торгово-сервисных предприятий, и любых других представителей используемых для обработки платежей.
Инструменты проверки соответствия
Программа AIS использует общий для индустрии платежных карт набор инструментов и мер. Участники, торгово-сервисные предприятия и сервис-провайдеры могут оценить состояние своей безопасности используя единый процесс проверки для всех компаний, оперирующих с пластиковыми картами. Регулятивные нормы программы также позволяют участникам, торгово-сервисным предприятиям и сервис-провайдерам выбрать одного подрядчика и реализовать единый процесс получения соответствия по всем программам безопасности данных платежных карт.
Инструменты проверки
- Опросные листы самооценки
Опросные листы самооценки — бесплатный конфиденциальный инструмент, который может использоваться для оценки вашего соответствия стандарту безопасности данных PCI. Опросный лист разбит на шесть разделов, каждый ориентирован на отдельную область безопасности, основанную на требованиях, включенных в PCI DSS. Участники, торгово-сервисные предприятия и сервис-провайдеры обязаны заполнить все пункты каждого раздела чтобы определить соответствие. - Процедуры сканирования безопасности
Процедуры сканирования безопасности описывают директивы для проведения сканирования безопасности сети в соответствии с PCI DSS.
Этот документ предназначен для организаций, которые должны сканировать свою инфраструктуру для подтверждения соответствия стандарту. - Процедуры аудита безопасности
Процедуры аудита безопасности PCI — документ, используемый для проверки соответствия организаций, которые должны пройти onsite-аудит.
Кто может проверять соответствие?
Самооценка
Заполение листа самооценки может собственноручно выполняться любой организацией, заинтересованной в соответствии стандарту безопасности данных PCI.
Сканирование и on-site аудит
Сканирование сети и onsite-аудит должен проводиться квалифицированным аудитором систем безопасности (Qualified Security Assessor)
Необходимые действия
Действия, которые должны быть выполнены, основываются на числе ежегодно хранимых, обрабатываемых и передаваемых учетных данных Visa. В таблице ниже приведен перечень действий, обязательных для выполнения в зависимости от числа транзакций.Табл. 1. Уровни организаций и необходимые процедуры
|
Торгово-сервисные предприятия (Merchants) | ||
|---|---|---|
|
Уровень |
Критерий |
Требования |
|
1 |
Любое торгово-сервисное предприятие, обрабатывающее более 6 млн. транзакций по Visa в год или интернациональные ТСП, которым был присвоен 1 уровень Visa в другом регионе или стране |
- Ежегодный аудит на соответствие требованиям PCI DSS |
|
2 |
ТСП, обрабатывающие от 1 млн. до 6 млн. транзакций по Visa в год (по всем платежным каналам) |
- Ежегодное самостоятельное заполнение опросного листа (SAQ) |
|
3 |
ТСП, обрабатывающие от 20 000 до 1 млн. транзакций электронной торговли по Visa в год |
– Ежегодное заполнение SAQ |
|
4 |
ТСП, обрабатывающие менее 20 000 транзакций электронной торговли по Visa в год, или все другие ТСП, обрабатывающие до 1 млн. транзакций в год |
– Рекомендуется ежегодное заполнение SAQ |
Ответственность за определение уровня своих торгово-сервисных предприятий, основываясь на числе и типе обрабатываемых транзакций, возлагается на эквайеров. Эквайеры должны уведомить Visa о новых подключенных ТСП 1 и 2 уровня ежегодно. Определение уровня ТСП основывается на общем объеме транзакций, проведенных в стране или через одного эквайера в течение года. Объемы транзакций от независимых сущностей ТСП (например, действующих по франшизе или лицензии) могут быть исключены из учитываемого объема в случае, если они не управляются рассматриваемым ТСП.
Дополнительно эквайеры должны предоставить Visa отчеты о соответствии по их ТСП уровней 1, 2 и 3 как минимум дважды в год. Visa оставляет за собой право запросить у эквайера отправку документации о проверке соответствия по конкретному ТСП.
30 сентября 2009 - крайний срок хранения запрещенных конфиденциальных данных для ТСП 1 и 2 уровня. После этой даты Visa International потребует подтверждения от эквайеров о том, что ТСП 1 и 2 уровня не хранят конфиденциальные данные (такие как данные магнитной полосы, треки, CVV2 или данные PIN) после авторизации транзакции, что является нарушением правил Visa. Visa применит соответствующие меры по контролю рисков, вплоть до наложения штрафов на эквайеров, которые не предоставят Visa форму аттестата соответствия (Attestation of Compliance Form) до 30 сентября 2009, подтверждающую, что все ТСП 1 и 2 уровней не хранят запрещенных конфиденциальных данных. Срок в 30 сентября 2009 года не превалирует над более ранними сроками, определенными в конкретных регионах и соответствующими принудительными программами, установленными ранее.
Крайний срок проведения аудита соответствия стандарту PCI DSS для ТСП уровня 1 — 30 сентября 2010. К этой дате Visa International требует от эквайеров предоставить форму аттестата соответствия (Attestation of Compliance Form) по каждому ТСП уровня 1, показывающую, что каждое ТСП прошло успешный аудит соответствия PCI DSS. После этой даты Visa применит соответствующие меры по контролю рисков, вплоть до наложения штрафов на эквайеров, которые не предоставят Visa форму аттестата соответствия, подтверждающую, что каждое ТСП уровня 1 прошло проверку соответствия PCI DSS. Срок в 30 сентября 2010 года не превалирует над более ранними сроками, определенными в конкретных регионах и соответствующими принудительными программами, уже введенными в действие.
|
Сервис-провайдеры (Service Providers) | ||
|---|---|---|
|
Уровень |
Критерий |
Требования |
|
1 |
Все процессоры, подключенные к VisaNet, или любой поставщик услуг, обрабатывающий более 300 000 транзакций в год |
– Ежегодный аудит на соответствие требованиям PCI DSS |
|
2 |
Любой поставщик услуг, обрабатывающий менее 300 000 транзакций по Visa в год |
– Ежегодное самостоятельное заполнение опросного листа |
Сервис-провайдеры второго уровня не включаются в список PCI DSS Compliant Service Providers, доступный на сайте Visa. Для включения в данный список сервис-провайдер второго уровня должен пройти процедуры проверки соответствия для первого уровня.
Начиная с 1 февраля 2009 г., Visa требует от сервис-провайдеров уровня 1 отправки Attestation of Compliance Form (Аттестат соответствия) и раздел “Executive Summary” (Результаты проведенного аудита) отчета о соответствии (Report on Compliance, ROC). Сервис-провайдеры уровня 2 отправляют заполненный самоопросник (Self-Assessment Questionnaire, SAQ) версии D. Visa не рассматривает содержимое самоопросника, т.к. за точность заполнения самоопросника SAQ отвечают эмитенты и эквайеры.
В случае компрометации
Участник или сервис-провайдер участника, торгово-сервисное предприятие или сервис-провайдер торгово-сервисного предприятия должен немедленно сообщить о подозреваемых или подтвержденных утерянных или похищенных материалов или записей, содержащих данные владельца карты Visa.
Если участник знает или подозревает факт нарушения безопасности торгово-сервисного предприятия или сервис-провайдера, он должен принять немедленные меры для расследования этого инцидента и ограничить воздействие на учетные данные владельцев карт.
Участник, отвечающий за организацию, которая пострадала от компрометации, должен предоставить Visa всю информацию по инциденту, включая диапазон учетных записей, которые были похищены или возможно похищены, подробности о пострадавшей организации и действия участника для расследования и рассмотрения причин, которые вызвали компрометацию. Visa может потребовать, чтобы участник нанял независимую компанию по информационной безопасности для проведения расследования за счет участника.
