Платежная система MasterCard внесла изменения в программу Site Data Protection (SDP), чтобы помочь торгово-сервисным предприятиям (ТСП), сторонним процессингам (Third Party Processors, TPPs) и организациям хранения данных (Data Storage Entities, DSEs) соответствовать стандарту безопасности индустрии платежных карт PCI DSS. Изменения в программе включают:

• изменения в структуре оценки несоответствия SDP;
• новое требование для ТСП 1 и 2 уровня — необходимо приглашать компанию, имеющую статус PCI QSA, для проведения onsite-аудита;
• изменение в классификации — все сторонние процессинги независимо от объема транзакций и организации хранения данных с количеством транзакций более 300 000 в год классифицируются как сервис-провайдеры 1 уровня;
• изменение в классификации — организации хранения данных с ежегодным объемом менее 300 000 транзакций классифицируются как сервис-провайдеры 2 уровня;
• предоставление отчетов с использованием Приоритезированного подхода (Prioritized Approach).

14 июля 2009 года международная платежная система Visa Inc. опубликовала крайний срок приведения платежных приложений в полное соответствие стандарту PCI PA-DSS (Payment Card Industry Payment Application Data Security Standards) – 1 июля 2012 г.

С целью исключения использования небезопасных приложений в своей сети Visa определила ряд предписаний, реализация которых должна быть завершена в ближайшие несколько лет.

Данные предписания потребуют от клиентов системы Visa использовать только сертифицированные приложения и работать только с торгово-сервисными предприятиями (англ. merchants, далее ТСП) и агентами, использующими сертифицированное по стандарту PA-DSS программное обеспечение.

Эти требования распространяются на все регионы действия Visa Inc., в том числе и на Россию.

Платежная система MasterCard опубликовала изменения в программе Site Data Protection. Теперь торгово-сервисным предприятиям (ТСП) 2 уровня недостаточно заполнения самоопросника PCI SAQ, помимо этого они обязаны приглашать компанию, имеющую статус PCI QSA, для проведения onsite-аудита. ТСП 1 уровня ранее могли проводить onsite-аудит, используя собственного внутреннего аудитора, теперь это возможно только с привлечением QSA. ТСП 1 уровня, которые уже прошли оценку соответствия, используя внутреннего аудитора, до 15 июня 2009 г., должны подтвердить свой статус путем проведения аудита с привлечением QSA до 31 декабря 2010 г.

1. Не хранить информацию без необходимости
2. Защищать периметр
3. Защищать приложения
4. Отслеживать и контролировать доступ к системам
5. Защищать хранящиеся данные держателей карт
6. Сформировать список оставшихся невыполненных требований стандарта и контролировать их исполнение.

Данный документ доступен на сайте Совета и включает в себя основной документ и рабочий бланк, позволяющий рассортировать требования стандарта PCI DSS согласно 6 заявленным принципам. Также предлагается использование общей терминологии, что позволит сервисно-торговым организациям, аудиторам и платежным системам улучшить взаимодействие.

Подробнее о документе