курс цб на 26.03:
57.4247
61.8636
Лента новостей

Об изменениях в программе Visa по подтверждению соответствия PCI DSS

Количество просмотров9 просмотров
Want create site? Find Free WordPress Themes and plugins.

Евгений Безгодов, исполнительный директор компании Deiteriy, CISA, PCI QSA


Совсем недавно по русскоязычным сайтам IT-тематики разлетелась новость о том, что компания Visa якобы отменила ежегодную сертификацию на соответствие требованиям стандарта безопасности PCI DSS. Так ли велики произошедшие изменения в программе подтверждения соответствия PCI DSS и что же на самом деле изменилось? Давайте обратимся к первоисточнику.

Им в данном случае является официальный сайт Visa в регионе CEMEA, к которому относится Россия, – http://visacemea.com.

Для начала напомню, что все компании – участники платежного процесса делятся, согласно правилам Visa, на три группы:

— торгово-сервисные предприятия (ТСП или мерчанты) – организации, продающие товары и услуги и принимающие карты Visa в счет оплаты товаров и услуг;

— сервис-провайдеры – организации, которые хранят, обрабатывают или передают данные о держателях карт для банков,ТСП или других сервис-провайдеров;

— VisaNet процессоры – организации, напрямую подключенные к сети VisaNet.

На странице http://visacemea.com /ac/ais/ais_merchants.jsp#Overview, посвященной программе подтверждения соответствия PCI DSS для торгово-сервисных предприятий, описаны все требования к процессу проверки и подтверждения их соответствия требованиям PCI DSS. Эти требования не претерпели изменений, и торгово-сервисные предприятия, обрабатывающие более 6 млн транзакций в год, попрежнему должны проходить ежегодный аудит с помощью QSA-аудитора.

При этом на той же странице имеется описание Программы технологических инноваций. Данная программа направлена на поддержку технологии чиповых карт (EMV). Эта программа действительно предусматривает для некоторых торгово-сервисных предприятий возможность избежать необходимости проведения ежегодного аудита. Вот требования, которым должно удовлетворять торгово-сервисное предприятие, чтобы воспользоваться такой возможностью:

  1. Подтвердить соответствие требованиям PCI DSS, однократно успешно пройдя аудит с помощью QSA-аудитора, или предоставить в Visa через свой банк-эквайер план достижения соответствия, основанный на проведенном GAP-анализе;
  2. Подтвердить, согласно требованиям PCI DSS, что в информационной структуре компании не хранятся критичные аутентификационные данные, такие как открытый и зашифрованный ПИН-код, данные с магнитной полосы карты или чипа, проверочные значения CVV2 и CVC2.
  3. Как минимум 75% всех транзакций должны выполняться организацией с помощью терминалов, поддерживающих чиповые карты;
  4. Не должно быть зафиксировано фактов компрометации данных держателей карт через данную организацию.

Здесь же отдельно уточнено, что данной возможностью не могут воспользоваться торгово-сервисные предприятия электронной коммерции. То есть для интернет-магазинов ежегодный аудит остается обязательным в любом случае.

На остальные две группы участников платежного процесса данное предложение Visa вообще не распространяется.

Таким образом, для относящихся к первому уровню интернет-магазинов, сервис-провайдеров и VisaNet процессоров ежегодный аудит на соответствие стандарту PCI DSS согласно правилам Visa остается обязательным.

Visa

Полный текст статьи читайте в журнале «ПЛАС» 7 (171) ‘2011 с. 52

Did you find apk for android? You can find new Free Android Games and apps.




В рубриках:
Журнал ПЛАС № 7 (171) 2011

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *