|
|
|
| Физическое размещение серверов, хостинг, организация серверных комнат – от этих аспектов зависит выбор способа обеспечения безопасности карточных данных и выполнения целого ряда требований стандарта PCI DSS. Из статьи читатель узнает как сертифицируемым организациям выполнить эти требования, а также чем хостинг-провайдеры могут им в этом помочь |
|
|
|
| В статье изложены проблемы безопасности приложений, в частности платежных приложений в рамках стандартов PCI DSS и PA-DSS, а также приведены основные предпосылки появления на свет стандарта PA-DSS, его особенности, назначение и преимущества соответствия |
|
|
|
| На что стоит обратить внимание при выборе QSA-компании для достижения Соответствия PCI DSS? |
 |
Где расположена ваша информационная инфраструктура?
|
 |
|
|
Главная  Проверка соответствия |
Любая организация, обрабатывающая, хранящая или передающая в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, должна соответствовать требованиям стандарта PCI DSS.
Международные платежные системы накладывают на поставщиков услуг, связанных с обработкой, хранением и передачей карточной информации, и торгово-сервисные предприятия обязательства по прохождению процедур проверки соответствия требованиям PCI DSS.
В таблице приведены правила категорирования поставщиков услуг и торгово-сервисных предприятий, а также требования международных платёжных систем Visa и MasterCard по проверке соответствия.
Требования для поставщиков услуг
|
| Уровень |
Признаки |
Процедуры проверки |
| 1 |
Все процессинговые центры, подключенные к VisaNet, а также поставщики услуг, обрабатывающие, хранящие или передающие данные о более чем 300 000 транзакций в год. |
- ежегодный аудит, выполняемый QSA-аудитором на объекте компании;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV). |
| 2 |
Поставщики услуг, обрабатывающие, хранящие или передающие данные о менее чем 300 000 транзакций в год. |
- ежегодная самооценка соответствия с заполнением опросного листа;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV). |
|
| Уровень |
Признаки |
Процедуры проверки |
| 1 |
Все процессинговые центры (TPP) и поставщики услуг (DSE), обрабатывающие, хранящие или передающие данные о более чем 300 000 транзакций в год. |
- ежегодный аудит, выполняемый QSA-аудитором на объекте компании;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV). |
| 2 |
Поставщики услуг (DSE), обрабатывающие, хранящие или передающие данные о менее чем 300 000 транзакций в год. |
- ежегодная самооценка соответствия с заполнением опросного листа;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV). |
Требования для торгово-сервисных предприятий
|
| Уровень |
Признаки |
Процедуры проверки |
| 1 |
Торгово-сервисные предприятия, обрабатывающие, более чем 6 млн. транзакций в год. |
- ежегодный аудит, выполняемый QSA-аудитором на объекте компании;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV).
|
| 2 |
Торгово-сервисные предприятия, обрабатывающие от 1 до 6 млн. транзакций в год. |
- ежегодная самооценка соответствия с заполнением опросного листа;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV). |
| 3 |
Торгово-сервисные предприятия, обрабатывающие от 20 000 до 1 млн. транзакций в год с применением средств электронной коммерции. |
- ежегодная самооценка соответствия с заполнением опросного листа;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV). |
| 4 |
Торгово-сервисные предприятия, обрабатывающие до 20 000 транзакций в год с применением средств электронной коммерции, а также иные торгово-сервисные предприятия, обрабатывающие до 1 млн. транзакций в год. |
- рекомендована ежегодная самооценка соответствия с заполнением опросного листа;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV), если применимо. |
|
| Уровень |
Признаки |
Процедуры проверки |
| 1 |
Торгово-сервисные предприятия, обрабатывающие, более чем 6 млн. транзакций в год.
Торгово-сервисные предприятия, через системы которых были скомпрометированы карточные данные.
Торгово-сервисные предприятия, отнесенные к 1 уровню другими международными платежными системами.
Торгово-сервисные предприятия, напрямую отнесенные международной платёжной системой MasterCard к 1 уровню.
|
- ежегодный аудит, выполняемый QSA-аудитором на объекте компании;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV). |
| 2 |
Торгово-сервисные предприятия, обрабатывающие от 1 до 6 млн. транзакций в год.
Торгово-сервисные предприятия, отнесенные ко 2 уровню другими международными платежными системами.
|
- ежегодный аудит, выполняемый QSA-аудитором на объекте компании;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV).
|
| 3 |
Торгово-сервисные предприятия, обрабатывающие от 20 000 до 1 млн. транзакций в год с применением средств электронной коммерции.
Торгово-сервисные предприятия, отнесенные к 3 уровню другими международными платежными системами.
|
- ежегодная самооценка соответствия с заполнением опросного листа;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV).
|
| 4 |
Все остальные торгово-сервисные предприятия. |
- ежегодная самооценка соответствия с заполнением опросного листа;
- ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV).
|
Список QSA-компаний
1. Digital Security (Россия)
2. ЕВРААС.ИТ (Россия)
3. БМС Консалтинг (Украина)
4. Инком (Украина)
5. Информзащита (Россия)
6. Инфосистемы Джет (Россия)
7. Энвижн Груп (Россия)
8. FortConsult (Дания)
Список ASV-компаний
1. Digital Security (Россия) — партнер Comodo CA Ltd.
2. ЕВРААС.ИТ (Россия)
3. БМС Консалтинг (Украина)
4. Инком (Украина)
5. Информзащита (Россия)
6. Инфосистемы Джет (Россия)
7. Outpost24 (Швеция)
8. FortConsult (Дания)
Список PA QSA-компаний
1. Digital Security (Россия)
2. Информзащита (Россия)
|
|
|
|
26 июля 2010