Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Об изменениях в программе VISA по подтверждению соответствия PCI DSS: факты и слухи

Об изменениях в программе VISA по подтверждению соответствия PCI DSS: факты и слухи

Об изменениях в программе VISA по подтверждению соответствия PCI DSS: факты и слухи


11.08.2011



На этой неделе многими русскоязычными новостным ресурсам была опубликована новость о том, что компания VISA якобы отменила ежегодную сертификацию на соответствие требованиям стандарта безопасности данных PCI DSS. Так ли велики произошедшие изменения в программе подтверждения соответствия PCI DSS, и что же на самом деле изменилось. Давайте обратимся к первоисточнику.

Им в данном случае является официальный сайт компании VISA - http://visacemea.com.

В качестве пояснения, напомню, что все компании – участники платёжного процесса делятся, согласно правилам VISA на три группы:

• Торгово-сервисные предприятия (ТСП или мерчанты, от слова merchant)- организаций, продающие товары и услуги и принимающих карты VISA для оплаты;

• Сервис-провайдеры – организации, которые хранят, обрабатывают или передают данные о держателях карт для банков, ТСП или других сервис-провайдеров;

VisaNet процессоры – организации, напрямую подключенные к сети VisaNet.

На странице, посвященной программе подтверждения соответствия PCI DSS для торгово-сервисных предприятий описаны все требования к процессу проверки и подтверждения их соответствия требованиям PCI DSS. Эти требования не претерпели изменений, и торгово-сервисные предприятия, обрабатывающие более 6 млн. транзакций в год по-прежнему должны проходить ежегодный аудит с помощью QSA-аудитора.

При этом, на той же странице имеется описание Программы технологических инноваций. Данная программа направлена на поддержку технологии чиповых карт (EMV). Эта программа действительно предусматривает для некоторых торгово-сервисных предприятий возможность избежать необходимости проведения ежегодного аудита. Вот требования, которым должно удовлетворять торгово-сервисное предприятие, чтобы воспользоваться такой возможностью:

1. Подтвердить соответствие требованиям PCI DSS, однократно успешно пройдя аудит с помощью QSA-аудитора или предоставить в VISA через свой банк-эквайер план достижения соответствия, основанный на проведённом GAP-анализе;

2. Подтвердить, согласно требованиям PCI DSS, что в информационной структуре компании не хранятся критичные аутентификационные данные, такие как открытый и зашифрованный PIN-код, данные с магнитной полосы карты или чипа, проверочные значения CVV2 и CVC2.

3. Как минимум 75% всех транзакций должны выполняться организацией с помощью терминалов, поддерживающих чиповые карты;

4. Не должно быть зафиксировано фактов компрометации данных о держателях карт через данную организацию.

Здесь же отдельно уточнено, что данной возможностью не могут воспользоваться торгово-сервисные предприятия электронной коммерции. То есть, для интернет-магазинов ежегодный аудит остаётся обязательным в любом случае.

На остальные две группы участников платёжного процесса данное предложение VISA вообще не распространяется.

Таким образом, для интернет-магазинов, сервис-провайдеров и VisaNet процессоров первого уровня ежегодный аудит на соответствие стандарту PCI DSS, согласно правилам VISA, остаётся обязательным.

ITSec.ru по материалам компании "Дейтерий"
 
На фото – Евгений Безгодов, исполнительный директор компании Deiteriy

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"