Блог

Об изменениях в программе VISA по подтверждению соответствия PCI DSS

Автор: Евгений Безгодов

На этой неделе по русскоязычным сайтам ИТ-тематики разлетелась новость о том, что компания VISA якобы отменила ежегодную сертификацию на соответствие требованиям стандарта безопасности данных PCI DSS. Так ли велики произошедшие изменения в программе подтверждения соответствия PCI DSS, и что же на самом деле изменилось. Давайте обратимся к первоисточнику.

Им в данном случае является официальный сайт VISA в регионе CEMEA, к которому относится и Россия, — http://visacemea.com/.

Для начала напомню, что все компании — участники платёжного процесса делятся, согласно правилам VISA на три группы:

  • Торгово-сервисные предприятия (ТСП или мерчанты, от слова merchant) — организации, продающие товары и услуги и принимающих карты VISA для оплаты;

  • Сервис-провайдеры — организации, которые хранят, обрабатывают или передают данные о держателях карт для банков, ТСП или других сервис-провайдеров;

  • VisaNet процессоры — организации, напрямую подключенные к сети VisaNet.

На странице http://visacemea.com/ac/ais/ais_merchants.jsp#Overview, посвященной программе подтверждения соответствия PCI DSS для торгово-сервисных предприятий описаны все требования к процессу проверки и подтверждения их соответствия требованиям PCI DSS. Эти требования не претерпели изменений, и торгово-сервисные предприятия, обрабатывающие более 6 млн. транзакций в год по-прежнему должны проходить ежегодный аудит с помощью QSA-аудитора.

При этом, на той же странице имеется описание Программы технологических инноваций. Данная программа направлена на поддержку технологии чиповых карт (EMV). Эта программа действительно предусматривает для некоторых торгово-сервисных предприятий возможность избежать необходимости проведения ежегодного аудита. Вот требования, которым должно удовлетворять торгово-сервисное предприятие, чтобы воспользоваться такой возможностью:

  1. Подтвердить соответствие требованиям PCI DSS, однократно успешно пройдя аудит с помощью QSA-аудитора или предоставить в VISA через свой банк-эквайер план достижения соответствия, основанный на проведённом GAP-анализе;

  2. Подтвердить, согласно требованиям PCI DSS, что в информационной структуре компании не хранятся критичные аутентификационные данные, такие как открытый и зашифрованный PIN-код, данные с магнитной полосы карты или чипа, проверочные значения CVV2 и CVC2.

  3. Как минимум 75% всех транзакций должны выполняться организацией с помощью терминалов, поддерживающих чиповые карты;

  4. Не должно быть зафиксировано фактов компрометации данных о держателях карт через данную организацию.

Здесь же отдельно уточнено, что данной возможностью не могут воспользоваться торгово-сервисные предприятия электронной коммерции. То есть, для интернет-магазинов ежегодный аудит остаётся обязательным в любом случае.

На остальные две группы участников платёжного процесса данное предложение VISA вообще не распространяется.

Таким образом, для интернет-магазинов, сервис-провайдеров и VisaNet процессоров первого уровня ежегодный аудит на соответствие стандарту PCI DSS, согласно правилам VISA, остаётся обязательным.

0

Добавить комментарий