Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Об изменениях в программе Visa по подтверждению соответствия PCI DSS

(Голосов: 1, Рейтинг: 5)

01.09.2011 Количество просмотров 1384 просмотра

Евгений Безгодов, исполнительный директор компании Deiteriy, CISA, PCI QSA


Совсем недавно по русскоязычным сайтам IT-тематики разлетелась новость о том, что компания Visa якобы отменила ежегодную сертификацию на соответствие требованиям стандарта безопасности PCI DSS. Так ли велики произошедшие изменения в программе подтверждения соответствия PCI DSS и что же на самом деле изменилось? Давайте обратимся к первоисточнику.

Им в данном случае является официальный сайт Visa в регионе CEMEA, к которому относится Россия, – http://visacemea.com.

Для начала напомню, что все компании – участники платежного процесса делятся, согласно правилам Visa, на три группы:

- торгово-сервисные предприятия (ТСП или мерчанты) – организации, продающие товары и услуги и принимающие карты Visa в счет оплаты товаров и услуг;

- сервис-провайдеры – организации, которые хранят, обрабатывают или передают данные о держателях карт для банков,ТСП или других сервис-провайдеров;

- VisaNet процессоры – организации, напрямую подключенные к сети VisaNet.

На странице http://visacemea.com /ac/ais/ais_merchants.jsp#Overview, посвященной программе подтверждения соответствия PCI DSS для торгово-сервисных предприятий, описаны все требования к процессу проверки и подтверждения их соответствия требованиям PCI DSS. Эти требования не претерпели изменений, и торгово-сервисные предприятия, обрабатывающие более 6 млн транзакций в год, попрежнему должны проходить ежегодный аудит с помощью QSA-аудитора.

При этом на той же странице имеется описание Программы технологических инноваций. Данная программа направлена на поддержку технологии чиповых карт (EMV). Эта программа действительно предусматривает для некоторых торгово-сервисных предприятий возможность избежать необходимости проведения ежегодного аудита. Вот требования, которым должно удовлетворять торгово-сервисное предприятие, чтобы воспользоваться такой возможностью:

  1. Подтвердить соответствие требованиям PCI DSS, однократно успешно пройдя аудит с помощью QSA-аудитора, или предоставить в Visa через свой банк-эквайер план достижения соответствия, основанный на проведенном GAP-анализе;
  2. Подтвердить, согласно требованиям PCI DSS, что в информационной структуре компании не хранятся критичные аутентификационные данные, такие как открытый и зашифрованный ПИН-код, данные с магнитной полосы карты или чипа, проверочные значения CVV2 и CVC2.
  3. Как минимум 75% всех транзакций должны выполняться организацией с помощью терминалов, поддерживающих чиповые карты;
  4. Не должно быть зафиксировано фактов компрометации данных держателей карт через данную организацию.

Здесь же отдельно уточнено, что данной возможностью не могут воспользоваться торгово-сервисные предприятия электронной коммерции. То есть для интернет-магазинов ежегодный аудит остается обязательным в любом случае.

На остальные две группы участников платежного процесса данное предложение Visa вообще не распространяется.

Таким образом, для относящихся к первому уровню интернет-магазинов, сервис-провайдеров и VisaNet процессоров ежегодный аудит на соответствие стандарту PCI DSS согласно правилам Visa остается обязательным.

Visa

Полный текст статьи читайте в журнале «ПЛАС» 7 (171) '2011 с. 52


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первая в мире массовая коммерческая эмиссия чиповых карт состоялась в США в 1986 г. (банками-эмитентами выступали Bank of Virginia и Maryland National Bank с чипами Bull CP8, а также First National Palm Beach Bank и Mall Bank – с чипами Casio)?