Мобильное приложение журнала
Google Play Apple Store
курс цб на 18.09: USD 64.1213 EUR 70.604
криптовалют: BTC 10190$ ETH 207.88$
Журнал ПЛАС » Архив » 2011 » Журнал ПЛАС № 7 (171) 2011 » 436 просмотров

Об изменениях в программе Visa по подтверждению соответствия PCI DSS

Об изменениях в программе Visa по подтверждению соответствия PCI DSS

Евгений Безгодов, исполнительный директор компании Deiteriy, CISA, PCI QSA


Совсем недавно по русскоязычным сайтам IT-тематики разлетелась новость о том, что компания Visa якобы отменила ежегодную сертификацию на соответствие требованиям стандарта безопасности PCI DSS. Так ли велики произошедшие изменения в программе подтверждения соответствия PCI DSS и что же на самом деле изменилось? Давайте обратимся к первоисточнику.

Им в данном случае является официальный сайт Visa в регионе CEMEA, к которому относится Россия, – .

Для начала напомню, что все компании – участники платежного процесса делятся, согласно правилам Visa, на три группы:

— торгово-сервисные предприятия (ТСП или мерчанты) – организации, продающие товары и услуги и принимающие карты Visa в счет оплаты товаров и услуг;

— сервис-провайдеры – организации, которые хранят, обрабатывают или передают данные о держателях карт для банков,ТСП или других сервис-провайдеров;

— VisaNet процессоры – организации, напрямую подключенные к сети VisaNet.

На странице /ac/ais/ais_merchants.jsp#Overview, посвященной программе подтверждения соответствия PCI DSS для торгово-сервисных предприятий, описаны все требования к процессу проверки и подтверждения их соответствия требованиям PCI DSS. Эти требования не претерпели изменений, и торгово-сервисные предприятия, обрабатывающие более 6 млн транзакций в год, попрежнему должны проходить ежегодный аудит с помощью QSA-аудитора.

При этом на той же странице имеется описание Программы технологических инноваций. Данная программа направлена на поддержку технологии чиповых карт (EMV). Эта программа действительно предусматривает для некоторых торгово-сервисных предприятий возможность избежать необходимости проведения ежегодного аудита. Вот требования, которым должно удовлетворять торгово-сервисное предприятие, чтобы воспользоваться такой возможностью:

  1. Подтвердить соответствие требованиям PCI DSS, однократно успешно пройдя аудит с помощью QSA-аудитора, или предоставить в Visa через свой банк-эквайер план достижения соответствия, основанный на проведенном GAP-анализе;
  2. Подтвердить, согласно требованиям PCI DSS, что в информационной структуре компании не хранятся критичные аутентификационные данные, такие как открытый и зашифрованный ПИН-код, данные с магнитной полосы карты или чипа, проверочные значения CVV2 и CVC2.
  3. Как минимум 75% всех транзакций должны выполняться организацией с помощью терминалов, поддерживающих чиповые карты;
  4. Не должно быть зафиксировано фактов компрометации данных держателей карт через данную организацию.

Здесь же отдельно уточнено, что данной возможностью не могут воспользоваться торгово-сервисные предприятия электронной коммерции. То есть для интернет-магазинов ежегодный аудит остается обязательным в любом случае.

На остальные две группы участников платежного процесса данное предложение Visa вообще не распространяется.

Таким образом, для относящихся к первому уровню интернет-магазинов, сервис-провайдеров и VisaNet процессоров ежегодный аудит на соответствие стандарту PCI DSS согласно правилам Visa остается обязательным.

Visa

Полный текст статьи читайте в журнале «ПЛАС» 7 (171) ‘2011 с. 52

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных