/Revised Implementation of PCI DSS Framework for VisaNet Processors/

Visa пересмотрела требования подтверждения соответствия стандартам PCI DSS для VisaNet Processrs — VNP (процессоров, подключенных напрямую).
Изменения, коснувшиеся Участников региона Visa CEMEA:

Компания Visa опубликовала “best practices” в области шифрования данных (Data Field). Текст содержит ряд рекомендаций по построению надежной системы шифрования данных, включая:

• ограничение передачи открытых данных;
• управление ключевой информацией;
• использование надежных криптоалгоритмов и ключей шифрования;
• защита устройств, используемых для выполнения криптографических операций;
• использование альтернативных идентификаторов счета клиента.

Текст рекомендаций доступен в открытом доступе на сайте Visa

14 июля 2009 года международная платежная система Visa Inc. опубликовала крайний срок приведения платежных приложений в полное соответствие стандарту PCI PA-DSS (Payment Card Industry Payment Application Data Security Standards) – 1 июля 2012 г.

С целью исключения использования небезопасных приложений в своей сети Visa определила ряд предписаний, реализация которых должна быть завершена в ближайшие несколько лет.

Данные предписания потребуют от клиентов системы Visa использовать только сертифицированные приложения и работать только с торгово-сервисными предприятиями (англ. merchants, далее ТСП) и агентами, использующими сертифицированное по стандарту PA-DSS программное обеспечение.

Эти требования распространяются на все регионы действия Visa Inc., в том числе и на Россию.

Эта статья является продолжением начатой темы про соответствие стандарту (PCI compliance) и проверкой соответствия (PCI Validation).

Итак, начнем с области применения стандарта PCI DSS. Несмотря на то, что исходно стандарт PCI DSS  разрабатывался в основном для крупных торгово-сервисных организаций (миллионы транзакций в год) и сервис-провайдеров и нацелен на снижение рисков утечки данных «чужих» платежных карт в рамках, в основном, процессов авторизации, его требования должны выполнять любые компании, в которых происходит обработка, хранение или передача как минимум PAN.

Данную позицию PCI SSC (организация, ответственная за разработку стандарта PCI DSS) изложила в ответе на один из вопросов аудиторов Информзащиты в своем FAQ.

Сложности при выполнении требований стандарта испытывают банки, которые занимаются выпуском платежных карт, их системы, обеспечивающие выпуск карт, особенно если они интегрированы с АБС, в большинстве случаев разрабатывались без оглядки на требования PCI DSS такие, как шифрование PAN, протоколирование доступа к PAN и т.п. Доработка существующих систем (или замена, что может быть даже дешевле) под выполнение требований по безопасности — задача затратная и по времени, и по ресурсам и для бизнеса не совсем очевидная особенно сейчас, в условиях мирового финансового кризиса. 

Нужно понимать разницу между выполнением требований стандарта  PCI DSS  и  подтверждением выполнения этих требований.

Сам по себе стандарт PCI DSS применим ко всем организациям, обрабатывающим или хранящим данные платежных карт (PAN как минимум). Туда входят и банки, выпускающие эти карты, и магазины (в том числе веб-сайты) принимающие эти карты к оплате и многочисленные сервис-провайдеры, участвующие в этом процессе (платежные шлюзы, агрегаторы платежей и т.п.). Очевидно, что часть требований в том или ином случае просто неприменима - ну откуда, например, у маленького магазина с POS терминалом процессы разработки приложений?

При этом сам стандарт остается применимым и вопросы, например, связанные с контролем физического доступа к POS терминалу, должны быть решены.

Итак, примем за факт, что если есть номера карт в системе - применимые требования PCI DSS нужно выполнять.