|
Та часть инфраструктуры банка, где осуществляется эмиссия платежных карт, безусловно, должна соответствовать требованиям стандарта PCI DSS, ведь в ней обрабатываются, хранятся и передаются карточные данные. Но при этом эмиссионная часть инфраструктуры не входит в область аудита PCI DSS, поскольку к этой части предъявляются гораздо более строгие требования информационной безопасности, чем стандарт PCI DSS. Это обусловлено тем, что в этих системах помимо данных о держателях карт хранятся, в том числе, критичные аутентификационные данные — ведь без этого функционирование банка-эмитента было бы невозможно.
Возникает закономерный вопрос: что делать, когда один и тот же процессинговый центр выполняет одновременно функции эквайринга и эмиссии? Ответ — вся инфраструктура процессинга должна соответствовать требованиям PCI DSS, но в область проверки входит только инфраструктура эквайринга.
При этом стоит помнить о том, как стандарт определяет область, попадающую под его требования — это все системы, хранящие, обрабатывающие и передающие данные о держателях карт, а также все связанные системы. Под связанными понимаются системы, соединения с которыми не защищены корректно сконфигурированными межсетевыми экранами.
| 
