Платежная система MasterCard внесла изменения в программу Site Data Protection (SDP), чтобы помочь торгово-сервисным предприятиям (ТСП), сторонним процессингам (Third Party Processors, TPPs) и организациям хранения данных (Data Storage Entities, DSEs) соответствовать стандарту безопасности индустрии платежных карт PCI DSS. Изменения в программе включают:

• изменения в структуре оценки несоответствия SDP;
• новое требование для ТСП 1 и 2 уровня — необходимо приглашать компанию, имеющую статус PCI QSA, для проведения onsite-аудита;
• изменение в классификации — все сторонние процессинги независимо от объема транзакций и организации хранения данных с количеством транзакций более 300 000 в год классифицируются как сервис-провайдеры 1 уровня;
• изменение в классификации — организации хранения данных с ежегодным объемом менее 300 000 транзакций классифицируются как сервис-провайдеры 2 уровня;
• предоставление отчетов с использованием Приоритезированного подхода (Prioritized Approach).

Платежная система MasterCard опубликовала изменения в программе Site Data Protection. Теперь торгово-сервисным предприятиям (ТСП) 2 уровня недостаточно заполнения самоопросника PCI SAQ, помимо этого они обязаны приглашать компанию, имеющую статус PCI QSA, для проведения onsite-аудита. ТСП 1 уровня ранее могли проводить onsite-аудит, используя собственного внутреннего аудитора, теперь это возможно только с привлечением QSA. ТСП 1 уровня, которые уже прошли оценку соответствия, используя внутреннего аудитора, до 15 июня 2009 г., должны подтвердить свой статус путем проведения аудита с привлечением QSA до 31 декабря 2010 г.

Нужно понимать разницу между выполнением требований стандарта  PCI DSS  и  подтверждением выполнения этих требований.

Сам по себе стандарт PCI DSS применим ко всем организациям, обрабатывающим или хранящим данные платежных карт (PAN как минимум). Туда входят и банки, выпускающие эти карты, и магазины (в том числе веб-сайты) принимающие эти карты к оплате и многочисленные сервис-провайдеры, участвующие в этом процессе (платежные шлюзы, агрегаторы платежей и т.п.). Очевидно, что часть требований в том или ином случае просто неприменима - ну откуда, например, у маленького магазина с POS терминалом процессы разработки приложений?

При этом сам стандарт остается применимым и вопросы, например, связанные с контролем физического доступа к POS терминалу, должны быть решены.

Итак, примем за факт, что если есть номера карт в системе - применимые требования PCI DSS нужно выполнять.