Платежная система MasterCard внесла изменения в программу Site Data Protection (SDP), чтобы помочь торгово-сервисным предприятиям (ТСП), сторонним процессингам (Third Party Processors, TPPs) и организациям хранения данных (Data Storage Entities, DSEs) соответствовать стандарту безопасности индустрии платежных карт PCI DSS. Изменения в программе включают:

• изменения в структуре оценки несоответствия SDP;
• новое требование для ТСП 1 и 2 уровня — необходимо приглашать компанию, имеющую статус PCI QSA, для проведения onsite-аудита;
• изменение в классификации — все сторонние процессинги независимо от объема транзакций и организации хранения данных с количеством транзакций более 300 000 в год классифицируются как сервис-провайдеры 1 уровня;
• изменение в классификации — организации хранения данных с ежегодным объемом менее 300 000 транзакций классифицируются как сервис-провайдеры 2 уровня;
• предоставление отчетов с использованием Приоритезированного подхода (Prioritized Approach).

Эта статья является продолжением начатой темы про соответствие стандарту (PCI compliance) и проверкой соответствия (PCI Validation).

Итак, начнем с области применения стандарта PCI DSS. Несмотря на то, что исходно стандарт PCI DSS  разрабатывался в основном для крупных торгово-сервисных организаций (миллионы транзакций в год) и сервис-провайдеров и нацелен на снижение рисков утечки данных «чужих» платежных карт в рамках, в основном, процессов авторизации, его требования должны выполнять любые компании, в которых происходит обработка, хранение или передача как минимум PAN.

Данную позицию PCI SSC (организация, ответственная за разработку стандарта PCI DSS) изложила в ответе на один из вопросов аудиторов Информзащиты в своем FAQ.

Сложности при выполнении требований стандарта испытывают банки, которые занимаются выпуском платежных карт, их системы, обеспечивающие выпуск карт, особенно если они интегрированы с АБС, в большинстве случаев разрабатывались без оглядки на требования PCI DSS такие, как шифрование PAN, протоколирование доступа к PAN и т.п. Доработка существующих систем (или замена, что может быть даже дешевле) под выполнение требований по безопасности — задача затратная и по времени, и по ресурсам и для бизнеса не совсем очевидная особенно сейчас, в условиях мирового финансового кризиса. 

Платежная система MasterCard опубликовала изменения в программе Site Data Protection. Теперь торгово-сервисным предприятиям (ТСП) 2 уровня недостаточно заполнения самоопросника PCI SAQ, помимо этого они обязаны приглашать компанию, имеющую статус PCI QSA, для проведения onsite-аудита. ТСП 1 уровня ранее могли проводить onsite-аудит, используя собственного внутреннего аудитора, теперь это возможно только с привлечением QSA. ТСП 1 уровня, которые уже прошли оценку соответствия, используя внутреннего аудитора, до 15 июня 2009 г., должны подтвердить свой статус путем проведения аудита с привлечением QSA до 31 декабря 2010 г.

Нужно понимать разницу между выполнением требований стандарта  PCI DSS  и  подтверждением выполнения этих требований.

Сам по себе стандарт PCI DSS применим ко всем организациям, обрабатывающим или хранящим данные платежных карт (PAN как минимум). Туда входят и банки, выпускающие эти карты, и магазины (в том числе веб-сайты) принимающие эти карты к оплате и многочисленные сервис-провайдеры, участвующие в этом процессе (платежные шлюзы, агрегаторы платежей и т.п.). Очевидно, что часть требований в том или ином случае просто неприменима - ну откуда, например, у маленького магазина с POS терминалом процессы разработки приложений?

При этом сам стандарт остается применимым и вопросы, например, связанные с контролем физического доступа к POS терминалу, должны быть решены.

Итак, примем за факт, что если есть номера карт в системе - применимые требования PCI DSS нужно выполнять.