курс цб на 24.11:
58.4622
69.1783

Об изменениях в программе Visa по подтверждению соответствия PCI DSS

17 августа 2012 16:17 Количество просмотров86 просмотров

Евгений Безгодов, исполнительный директор компании Deiteriy, CISA, PCI QSA


Совсем недавно по русскоязычным сайтам IT-тематики разлетелась новость о том, что компания Visa якобы отменила ежегодную сертификацию на соответствие требованиям стандарта безопасности PCI DSS. Так ли велики произошедшие изменения в программе подтверждения соответствия PCI DSS и что же на самом деле изменилось? Давайте обратимся к первоисточнику.

Им в данном случае является официальный сайт Visa в регионе CEMEA, к которому относится Россия, – http://visacemea.com.

Для начала напомню, что все компании – участники платежного процесса делятся, согласно правилам Visa, на три группы:

— торгово-сервисные предприятия (ТСП или мерчанты) – организации, продающие товары и услуги и принимающие карты Visa в счет оплаты товаров и услуг;

— сервис-провайдеры – организации, которые хранят, обрабатывают или передают данные о держателях карт для банков,ТСП или других сервис-провайдеров;

— VisaNet процессоры – организации, напрямую подключенные к сети VisaNet.

На странице http://visacemea.com /ac/ais/ais_merchants.jsp#Overview, посвященной программе подтверждения соответствия PCI DSS для торгово-сервисных предприятий, описаны все требования к процессу проверки и подтверждения их соответствия требованиям PCI DSS. Эти требования не претерпели изменений, и торгово-сервисные предприятия, обрабатывающие более 6 млн транзакций в год, попрежнему должны проходить ежегодный аудит с помощью QSA-аудитора.

При этом на той же странице имеется описание Программы технологических инноваций. Данная программа направлена на поддержку технологии чиповых карт (EMV). Эта программа действительно предусматривает для некоторых торгово-сервисных предприятий возможность избежать необходимости проведения ежегодного аудита. Вот требования, которым должно удовлетворять торгово-сервисное предприятие, чтобы воспользоваться такой возможностью:

  1. Подтвердить соответствие требованиям PCI DSS, однократно успешно пройдя аудит с помощью QSA-аудитора, или предоставить в Visa через свой банк-эквайер план достижения соответствия, основанный на проведенном GAP-анализе;
  2. Подтвердить, согласно требованиям PCI DSS, что в информационной структуре компании не хранятся критичные аутентификационные данные, такие как открытый и зашифрованный ПИН-код, данные с магнитной полосы карты или чипа, проверочные значения CVV2 и CVC2.
  3. Как минимум 75% всех транзакций должны выполняться организацией с помощью терминалов, поддерживающих чиповые карты;
  4. Не должно быть зафиксировано фактов компрометации данных держателей карт через данную организацию.

Здесь же отдельно уточнено, что данной возможностью не могут воспользоваться торгово-сервисные предприятия электронной коммерции. То есть для интернет-магазинов ежегодный аудит остается обязательным в любом случае.

На остальные две группы участников платежного процесса данное предложение Visa вообще не распространяется.

Таким образом, для относящихся к первому уровню интернет-магазинов, сервис-провайдеров и VisaNet процессоров ежегодный аудит на соответствие стандарту PCI DSS согласно правилам Visa остается обязательным.

Visa

Полный текст статьи читайте в журнале «ПЛАС» 7 (171) ‘2011 с. 52




В рубриках:
Журнал ПЛАС № 7 (171) 2011
Лента новостей
Журнал ПЛАС № 7 (1 ...
Мероприятия FinMachine-2017 пройдет в Москве 23 ноября
21 ноября 2017 10:29
Количество просмотров 357 просмотров
Digital banking Альфа-Банк: счет в пользу семьи
20 ноября 2017 10:55
Количество просмотров 243 просмотра
Мероприятия Teradata Форум 2017 прошел в Москве
20 ноября 2017 08:31
Количество просмотров 284 просмотра
Банки и МФО Qiwi приобрела Рокетбанк и «Точку»
17 ноября 2017 15:15
Количество просмотров 843 просмотра