ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

ID.SC-1: Идентфицированы, устанавлены, оцениваются, управляются и согласовываются заинтересованными сторонами организации все процессы управления рисками в кибер-цепочке 

ID.SC-3: Поставщики и партнеры обязаны по контракту принять соответствующие меры, предназначенные для достижения целей программы информационной безопасности или плана управления рисками кибер-цепочки поставок 

ID.BE-1:  Определена и сообщена роль организации в цепочке поставок  

РВН.6.1 Установление в рамках договорных отношений требований к соблюдению работниками поставщиков услуг установленных финансовой организацией требований к обеспечению операционной надежности и защите информации, а также их обязанностей и ответственности.

ВПУ.4.1 Заключение соглашений об уровне оказания услуг (SLA) и неразглашении информации конфиденциального характера (NDA) в отношении поставщиков услуг***;

8.3.10
Defined Approach Requirements: 
Additional requirement for service providers only: If passwords/passphrases are used as the only authentication factor for customer user access to cardholder data (i.e., in any singlefactor authentication implementation), then guidance is provided to customer users including: 

Customized Approach Objective:
Passwords/passphrases for service providers’ customers cannot be used indefinitely. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
This requirement does not apply to accounts of consumer users accessing their own payment card information. 
This requirement for service providers will be superseded by Requirement 8.3.10.1 once 8.3.10.1 becomes effective. 

Defined Approach Testing Procedures:

Purpose:
Using a password/passphrase as the only authentication factor provides a single point of failure if compromised. Therefore, in these implementations, controls are needed to minimize how long malicious activity could occur via a compromised password/passphrase. 

Good Practice:
Passwords/passphrases that are valid for a long time without a change provide malicious individuals with more time to break the password/phrase. Periodically changing passwords offers less time for a malicious individual to crack a password/passphrase and less time to use a compromised password. 

12.5.3
Defined Approach Requirements: 
Additional requirement for service providers only: Significant changes to organizational structure result in a documented (internal) review of the impact to PCI DSS scope and applicability of controls, with results communicated to executive management. 

Customized Approach Objective:
PCI DSS scope is confirmed after significant organizational change. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
An organization’s structure and management define the requirements and protocol for effective and secure operations. Changes to this structure could have negative effects to existing controls and frameworks by reallocating or removing resources that once supported PCI DSS controls or inheriting new responsibilities that may not have established controls in place. Therefore, it is important to revisit PCI DSS scope and controls when there are changes to an organization’s structure and management to ensure controls are in place and active. 

Examples:
Changes to organizational structure include, but are not limited to, company mergers or acquisitions, and significant changes or reassignments of personnel with responsibility for security controls. 

12.5.2.1
Defined Approach Requirements: 
Additional requirement for service providers only: PCI DSS scope is documented and confirmed by the entity at least once every six months and upon significant change to the in-scope environment. At a minimum, the scoping validation includes all the elements specified in Requirement 12.5.2. 

Customized Approach Objective:
The accuracy of PCI DSS scope is verified to be continuously accurate by comprehensive analysis and appropriate technical measures. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
Service providers typically have access to greater volumes of cardholder data than do merchants, or can provide an entry point that can be exploited to then compromise multiple other entities. Service providers also typically have larger and more complex networks that are subject to more frequent change. The probability of overlooked changes to scope in complex and dynamic networks is greater in service providers’ environments.
Validating PCI DSS scope more frequently is likely to discover such overlooked changes before they can be exploited by an attacker. 

3.3.3 
Defined Approach Requirements: 
Additional requirement for issuers and companies that support issuing services and store sensitive authentication data: Any storage of sensitive authentication data is: • Limited to that which is needed for a legitimate issuing business need and is secured. • Encrypted using strong cryptography. This bullet is a best practice until its effective date; refer to Applicability Notes below for details. 

Customized Approach Objective:
Sensitive authentication data is retained only as required to support issuing functions and is secured from unauthorized access. 

Applicability Notes:
This requirement applies only to issuers and companies that support issuing services and store sensitive authentication data. 
Entities that issue payment cards or that perform or support issuing services will often create and control sensitive authentication data as part of the issuing function. It is allowable for companies that perform, facilitate, or support issuing services to store sensitive authentication data ONLY IF they have a legitimate business need to store such data. 
PCI DSS requirements are intended for all entities that store, process, or transmit account data, including issuers. The only exception for issuers and issuer processors is that sensitive authentication data may be retained if there is a legitimate reason to do so. Any such data must be stored securely and in accordance with all PCI DSS and specific payment brand requirements. 
The bullet above (for encrypting stored SAD with strong cryptography) is a best practice until 31 March 2025, after which it will be required as part of Requirement 3.3.3 and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
 SAD can be used by malicious individuals to increase the probability of successfully generating counterfeit payment cards and creating fraudulent transactions. 

Good Practice:
Entities should consider encrypting SAD with a different cryptographic key than is used to encrypt PAN. Note that this does not mean that PAN present in SAD (as part of track data) would need to be separately encrypted. 

Definitions:
Legitimate issuing business need means that the data is needed to facilitate the issuing business process. 

Further Information:
Refer to ISO/DIS 9564-5 Financial services — Personal Identification Number (PIN) 

12.8.2
Defined Approach Requirements: 
Written agreements with TPSPs are maintained as follows:

Customized Approach Objective:
Records are maintained of each TPSP’s acknowledgment of its responsibility to protect account data. 

Applicability Notes:
The exact wording of an acknowledgment will depend on the agreement between the two parties, the details of the service being provided, and the responsibilities assigned to each party. The acknowledgment does not have to include the exact wording provided in this requirement. 
Evidence that a TPSP is meeting PCI DSS requirements (for example, a PCI DSS Attestation of Compliance (AOC) or a declaration on a company’s website) is not the same as a written agreement specified in this requirement. 

Defined Approach Testing Procedures:

Purpose:
The written acknowledgment from a TPSP demonstrates its commitment to maintaining proper security of account data that it obtains from its customers and that the TPSP is fully aware of the assets that could be affected during the provisioning of the TPSP’s service. The extent to which a specific TPSP is responsible for the security of account data will depend on the service provided and the agreement between the provider and assessed entity (the customer). 
In conjunction with Requirement 12.9.1, this requirement is intended to promote a consistent level of understanding between parties about their applicable PCI DSS responsibilities. For example, the agreement may include the applicable PCI DSS requirements to be maintained as part of the provided service. 

Good Practice:
The entity may also want to consider including in their written agreement with a TPSP that the TPSP will support the entity’s request for information per Requirement 12.9.2. Entities will also want to understand whether any TPSPs have “nested” relationships with other TPSPs, meaning the primary TPSP contracts with another TPSP(s) for the purposes of providing a service.
It is important to understand whether the primary TPSP is relying on the secondary TPSP(s) to achieve overall compliance of a service, and what types of written agreements the primary TPSP has in place with the secondary TPSPs. Entities can consider including coverage in their written agreement for any “nested” TPSPs a primary TPSP may use. 

Further Information:
Refer to the “Information Supplement: Third-Party Security Assurance for further guidance. 

12.4.1
Defined Approach Requirements: 
Additional requirement for service providers only:  Responsibility is established by executive management for the protection of cardholder data and a PCI DSS compliance program to include: 

Customized Approach Objective:
Executives are responsible and accountable for security of cardholder data. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
Executive management may include C-level positions, board of directors, or equivalent. The specific titles will depend on the particular organizational structure. 
Responsibility for the PCI DSS compliance program may be assigned to individual roles and/or to business units within the organization. 

Defined Approach Testing Procedures:

Purpose:
Executive management assignment of PCI DSS compliance responsibilities ensures executivelevel visibility into the PCI DSS compliance program and allows for the opportunity to ask appropriate questions to determine the effectiveness of the program and influence strategic priorities. 

8.2.3
Defined Approach Requirements: 
Additional requirement for service providers only: Service providers with remote access to customer premises use unique authentication factors for each customer premises 

Customized Approach Objective:
A service provider’s credential used for one customer cannot be used for any other customer. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
This requirement is not intended to apply to service providers accessing their own shared services environments, where multiple customer environments are hosted. 
If service provider employees use shared authentication factors to remotely access customer premises, these factors must be unique per customer and managed in accordance with Requirement 8.2.2. 

Defined Approach Testing Procedures:

Purpose:
Service providers with remote access to customer premises typically use this access to support POS POI systems or provide other remote services. 
If a service provider uses the same authentication factors to access multiple customers, all the service provider’s customers can easily be compromised if an attacker compromises that one factor. 
Criminals know this and deliberately target service providers looking for a shared authentication factor that gives them remote access to many merchants via that single factor. 

Examples:
Technologies such as multi-factor mechanisms that provide a unique credential for each connection (such as a single-use password) could also meet the intent of this requirement. 

8.3.10.1
Defined Approach Requirements: 
Additional requirement for service providers only: If passwords/passphrases are used as the only authentication factor for customer user access (i.e., in any single-factor authentication implementation) then either:

OR

Customized Approach Objective:
Passwords/passphrases for service providers’ customers cannot be used indefinitely. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
This requirement does not apply to accounts of consumer users accessing their own payment card information. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 
Until this requirement is effective on 31 March 2025, service providers may meet either Requirement 8.3.10 or 8.3.10.1. 

Defined Approach Testing Procedures:

Purpose:
Using a password/passphrase as the only authentication factor provides a single point of failure if compromised. Therefore, in these implementations, controls are needed to minimize how long malicious activity could occur via a compromised password/passphrase. 

Good Practice:
Passwords/passphrases that are valid for a long time without a change provide malicious individuals with more time to break the password/phrase. Periodically changing passwords offers less time for a malicious individual to crack a password/passphrase and less time to use a compromised password. 
Dynamically analyzing an account’s security posture is another option that allows for more rapid detection and response to address potentially compromised credentials. Such analysis takes a number of data points which may include device integrity, location, access times, and the resources accessed to determine in real time whether an account can be granted access to a requested resource. In this way, access can be denied and accounts blocked if it is suspected that account credentials have been compromised. 

Further Information:
For information about using dynamic analysis to manage user access to resources, refer to NIST SP 800-207 Zero Trust Architecture. 

/STANDARD
When an organization wants to outsource its information system or data, it must assess, in advance, the risks specific to outsourced services (controlling the information system, remote actions, shared hosting, etc.) in order to take into account the needs ans suitable security measures when creating the requirements applicable to the future service provider. The information security system risks inherent in this type of approach may be linked to the context of the outsourcing operation, but also deficient or incomplete contractual specifications. 

Therefore, in order to run smoothly the operations, it is important to:

To formalise these commitments, the service provider will provide the customer with a security insurance plan detailed in the bid. This is a contractual document describing all of the specific measures that the applicants commit to implementing in order to guarantee the security requirements specified by the organization are met. 

The use of digital solutions or tools (hosted in the Cloud for example) is not considered here as it comes under the area of managed services and, moreover, is not advisable when processing sensitive data. 

3.2. Компетентность и надежность поставщиков являются ключевыми условиями выбора провайдеров программного продукта или услуг. Необходимость аудита должна быть основана на оценке рисков. 

3.1. Если задействованы третьи лица (например, поставщики, провайдеры услуг)например, для поставки, установки, настройки, задания конфигурации, интегрирования, валидации, технического обслуживания (например, через удаленный доступ), модификации или поддержания компьютеризированных систем, связанных с ними услуг или обработки данных, то должны иметься надлежаще оформленные договоры между производителем и любыми третьими лицами. В этих договорах должна быть четко установлена ответственность третьих лиц. Аналогичные требования следует предъявлять к подразделениям информационных технологий производителя. 

12.8.2
Определенные Требования к Подходу:
Письменные соглашения с TPSP поддерживаются следующим образом:

Цель Индивидуального подхода:
Ведутся записи о подтверждении каждым TPSP своей ответственности за защиту данных учетной записи.

Примечания по применению:
Точная формулировка подтверждения будет зависеть от соглашения между двумя сторонами, деталей предоставляемой услуги и обязанностей, возложенных на каждую сторону. Подтверждение не обязательно должно содержать точную формулировку, предусмотренную в этом требовании.
Доказательства того, что TPSP соответствует требованиям PCI DSS (например, сертификат соответствия PCI DSS (AOC) или декларация на веб-сайте компании), не совпадают с письменным соглашением, указанным в этом требовании.

Определенные Процедуры Тестирования Подхода:

Цель:
Письменное подтверждение от TPSP демонстрирует его приверженность поддержанию надлежащей безопасности учетных данных, которые он получает от своих клиентов, и что TPSP полностью осведомлен об активах, которые могут быть затронуты во время предоставления услуг TPSP. Степень, в которой конкретный TPSP несет ответственность за безопасность данных учетной записи, будет зависеть от предоставляемой услуги и соглашения между поставщиком и оцениваемой организацией (клиентом).
В сочетании с требованием 12.9.1 это требование призвано способствовать постоянному уровню понимания между сторонами их применимых обязанностей по PCI DSS. Например, соглашение может включать применимые требования PCI DSS, которые должны поддерживаться в рамках предоставляемой услуги.

Надлежащая практика:
Организация может также захотеть включить в свое письменное соглашение с TPSP, что TPSP будет поддерживать запрос организации о предоставлении информации в соответствии с требованием 12.9.2. Организации также захотят понять, имеют ли какие-либо TPSP “вложенные” отношения с другими TPSP, что означает, что первичный TPSP заключает контракты с другим TPSP (ами) на цели предоставления услуги.
Важно понимать, полагается ли первичный TPSP на вторичный TPSP(ы) для достижения общего соответствия услуги, и какие типы письменных соглашений заключены у первичного TPSP с вторичными TPSP. Организации могут рассмотреть возможность включения покрытия в свое письменное соглашение для любых “вложенных” TPSP, которые может использовать основной TPSP.

Дополнительная информация:
Дополнительные указания см. в разделе “Информационное дополнение: Обеспечение безопасности третьей стороной".

8.2.3
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Поставщики услуг с удаленным доступом к помещениям клиентов используют уникальные факторы аутентификации для каждого помещения клиента.

Цель Индивидуального подхода:
Учетные данные поставщика услуг, используемые для одного клиента, не могут быть использованы для любого другого клиента.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование не предназначено для применения к поставщикам услуг, получающим доступ к своим собственным средам общих служб, в которых размещены несколько клиентских сред.
Если сотрудники поставщика услуг используют общие факторы аутентификации для удаленного доступа к помещениям клиентов, эти факторы должны быть уникальными для каждого клиента и управляться в соответствии с требованием 8.2.2.

Определенные Процедуры Тестирования Подхода:

Цель:
Поставщики услуг с удаленным доступом к помещениям клиентов обычно используют этот доступ для поддержки систем POS POI или предоставления других удаленных услуг.
Если поставщик услуг использует одни и те же факторы аутентификации для доступа к нескольким клиентам, все клиенты поставщика услуг могут быть легко скомпрометированы, если злоумышленник скомпрометирует этот один фактор.
Преступники знают это и намеренно нацеливаются на поставщиков услуг, ищущих общий фактор аутентификации, который дает им удаленный доступ ко многим продавцам через этот единственный фактор.

Примеры:
Такие технологии, как многофакторные механизмы, которые предоставляют уникальные учетные данные для каждого соединения (например, одноразовый пароль), также могут соответствовать цели этого требования.

8.3.10.1
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Если пароли / парольные фразы используются в качестве единственного фактора аутентификации для доступа пользователя клиента (т.е. в любой реализации однофакторной аутентификации), то либо:

ИЛИ

Цель Индивидуального подхода:
Пароли/парольные фразы для клиентов поставщиков услуг не могут использоваться бесконечно.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование не распространяется на учетные записи пользователей-потребителей, получающих доступ к информации о своих собственных платежных картах.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
До тех пор, пока это требование не вступит в силу 31 марта 2025 года, поставщики услуг могут выполнять либо требование 8.3.10, либо 8.3.10.1.

Определенные Процедуры Тестирования Подхода:

Цель:
Использование пароля/парольной фразы в качестве единственного фактора аутентификации обеспечивает единую точку отказа в случае компрометации. Поэтому в этих реализациях необходимы средства контроля, чтобы свести к минимуму время, в течение которого может происходить вредоносная активность с использованием скомпрометированного пароля/ключевой фразы.

Надлежащая практика:
Пароли/парольные фразы, которые действительны в течение длительного времени без изменений, дают злоумышленникам больше времени для взлома пароля / фразы. Периодическая смена паролей дает злоумышленнику меньше времени для взлома пароля / парольной фразы и меньше времени для использования скомпрометированного пароля.
Динамический анализ состояния безопасности учетной записи - это еще один вариант, который позволяет более быстро обнаруживать и реагировать на потенциально скомпрометированные учетные данные. Для такого анализа требуется ряд точек данных, которые могут включать целостность устройства, местоположение, время доступа и доступные ресурсы, чтобы определить в режиме реального времени, может ли учетная запись получить доступ к запрошенному ресурсу. Таким образом, доступ может быть запрещен, а учетные записи заблокированы, если есть подозрение, что учетные данные учетной записи были скомпрометированы.

Дополнительная информация:
Для получения информации об использовании динамического анализа для управления доступом пользователей к ресурсам обратитесь к NIST SP 800-207 Архитектура нулевого доверия.

12.5.2.1
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Область применения стандарта PCI DSS документируется и подтверждается организацией не реже одного раза в шесть месяцев и при значительных изменениях в среде, в которой он применяется. Как минимум, проверка области охвата включает в себя все элементы, указанные в требовании 12.5.2.

Цель Индивидуального подхода:
Точность области применения PCI DSS проверяется на постоянную точность с помощью всестороннего анализа и соответствующих технических мер.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Поставщики услуг обычно имеют доступ к большему объему данных о держателях карт, чем торговцы, или могут предоставить точку входа, которую можно использовать для последующего компрометации множества других организаций. Поставщики услуг также, как правило, имеют более крупные и сложные сети, которые подвержены более частым изменениям. Вероятность незамеченных изменений в области применения в сложных и динамичных сетях выше в среде поставщиков услуг.
Более частая проверка области действия PCI DSS, скорее всего, позволит обнаружить такие пропущенные изменения до того, как они смогут быть использованы злоумышленником.

12.5.3
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Значительные изменения в организационной структуре приводят к документированному (внутреннему) анализу влияния на сферу применения и применимость средств контроля PCI DSS, результаты которого доводятся до сведения исполнительного руководства.

Цель Индивидуального подхода:
Область применения PCI DSS подтверждена после значительных организационных изменений.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Структура и управление организации определяют требования и протокол для эффективной и безопасной работы. Изменения в этой структуре могут оказать негативное влияние на существующие средства контроля и структуры путем перераспределения или удаления ресурсов, которые когда-то поддерживали средства контроля PCI DSS, или наследования новых обязанностей, которые, возможно, не имели установленных средств контроля. Поэтому важно пересматривать область применения и средства контроля PCI DSS при внесении изменений в структуру и управление организации, чтобы убедиться, что средства контроля установлены и активны.

Примеры:
Изменения в организационной структуре включают, но не ограничиваются ими, слияния или поглощения компаний, а также значительные изменения или переназначения персонала, отвечающего за контроль безопасности.

8.3.10
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Если пароли/парольные фразы используются в качестве единственного фактора аутентификации для доступа пользователя клиента к данным держателя карты (т.е. в любой реализации однофакторной аутентификации), то пользователям клиентов предоставляются рекомендации, в том числе:

Цель Индивидуального подхода:
Пароли/парольные фразы для клиентов поставщиков услуг не могут использоваться бесконечно.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование не распространяется на учетные записи пользователей-потребителей, получающих доступ к информации о своих собственных платежных картах.
Это требование к поставщикам услуг будет заменено Требованием 8.3.10.1, как только 8.3.10.1 вступит в силу.

Определенные Процедуры Тестирования Подхода:

Цель:
Использование пароля/парольной фразы в качестве единственного фактора аутентификации обеспечивает единую точку отказа в случае компрометации. Поэтому в этих реализациях необходимы средства контроля, чтобы свести к минимуму время, в течение которого может происходить вредоносная активность с использованием скомпрометированного пароля/ключевой фразы.

Надлежащая практика:
Пароли/парольные фразы, которые действительны в течение длительного времени без изменений, дают злоумышленникам больше времени для взлома пароля / фразы. Периодическая смена паролей дает злоумышленнику меньше времени для взлома пароля / парольной фразы и меньше времени для использования скомпрометированного пароля.

3.3.3
Определенные Требования к Подходу:
Дополнительное требование к эмитентам и компаниям, которые поддерживают услуги выдачи и хранят конфиденциальные аутентификационные данные: Любое хранение конфиденциальных аутентификационных данных:

Цель Индивидуального подхода:
Конфиденциальные аутентификационные данные сохраняются только по мере необходимости для поддержки функций выдачи и защищены от несанкционированного доступа.

Примечания по применению:
Это требование распространяется только на эмитентов и компании, которые поддерживают услуги выдачи и хранят конфиденциальные данные аутентификации.
Организации, которые выпускают платежные карты или которые предоставляют или поддерживают услуги по выдаче, часто создают и контролируют конфиденциальные аутентификационные данные в рамках функции выдачи. Компаниям, которые предоставляют, облегчают или поддерживают выдачу услуг, разрешается хранить конфиденциальные данные аутентификации ТОЛЬКО в том случае, ЕСЛИ у них есть законная деловая потребность в хранении таких данных.
Требования PCI DSS предназначены для всех организаций, которые хранят, обрабатывают или передают данные учетной записи, включая эмитентов. Единственным исключением для эмитентов и обработчиков данных эмитентов является то, что конфиденциальные аутентификационные данные могут быть сохранены, если для этого есть законная причина. Любые такие данные должны храниться надежно и в соответствии со всеми стандартами PCI DSS и конкретными требованиями платежного бренда.
Приведенный выше маркер (для шифрования хранимых данных с помощью надежной криптографии) является наилучшей практикой до 31 марта 2025 года, после чего он потребуется как часть требования 3.3.3 и должен быть полностью рассмотрен во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
SAD может быть использован злоумышленниками для повышения вероятности успешного создания поддельных платежных карт и совершения мошеннических транзакций.

Надлежащая практика:
Организациям следует рассмотреть возможность шифрования SAD с помощью криптографического ключа, отличного от того, который используется для шифрования PAN. Обратите внимание, что это не означает, что PAN, присутствующий в SAD (как часть данных трека), должен быть зашифрован отдельно.

Определения:
Законная бизнес-потребность в выдаче означает, что данные необходимы для облегчения бизнес-процесса выдачи.

Дополнительная информация:
Обратитесь к ISO/DIS 9564-5 Финансовые услуги — Личный идентификационный номер (PIN-код)

12.4.1
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Ответственность за защиту данных о держателях карт устанавливается исполнительным руководством, а программа соответствия требованиям PCI DSS включает:

Цель Индивидуального подхода:
Руководители несут ответственность и подотчетны за безопасность данных о держателях карт.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Исполнительное руководство может включать должности уровня С, совет директоров или аналогичные должности. Конкретные названия будут зависеть от конкретной организационной структуры.
Ответственность за программу соответствия требованиям PCI DSS может быть возложена на отдельные роли и/или на бизнес-подразделения внутри организации.

Определенные Процедуры Тестирования Подхода:

Цель:
Распределение обязанностей по соблюдению требований PCI DSS между исполнительным руководством обеспечивает видимость программы соблюдения требований PCI DSS на уровне руководства и дает возможность задавать соответствующие вопросы для определения эффективности программы и влияния на стратегические приоритеты.

9.6. При оценке возможности поставщика услуг обеспечить выполнение обязательств организации БС РФ следует рассмотреть следующие показатели:

11.6. Основные требования, предъявляемые к организациям, проводящим аудит информационной безопасности:

6.9. Основное требование 8. Организации БС РФ при принятии решения об аутсорсинге существенных функций, при котором предполагается трансграничная передача защищаемой информации, следует убедиться в соблюдении требований:

В случае наличия у поставщика услуг подразделений и (или) дочерних предприятий за пределами РФ, а также при использовании самим поставщиком услуг аутсорсинга поставщик услуг должен предоставить организации БС РФ информацию о таких подразделениях, предприятиях или аутсорсинговых субподрядчиках (если они участвуют в оказании услуг аутсорсинга), выполняемых ими работах, часовых поясах и странах, в которых находятся их штаб-квартиры и из которых они ведут свою деятельность в целях выполнения соглашения об аутсорсинге для организации БС РФ. Необходимо учитывать возможность существования своих законодательных требований и ограничений, а также используемых разговорных языках и возможных культурных и религиозных особенностях в области обеспечения ИБ в юрисдикциях, в которых находятся поставщики услуг, их подразделения, дочерние предприятия и субподрядчики.

Трансграничная передача информации, составляющей банковскую тайну, допускается в обезличенной обобщенной (агрегированной) форме, за исключением случаев, установленных законодательством РФ.

9.3. При оценке ресурсов, потенциала и возможностей поставщика услуг организации БС РФ необходимо учитывать следующие показатели:

Для оценки политики поставщика услуг может быть рекомендован перечень вопросов, представленный в Приложении 2. 

9.2. Основными целями оценки поставщика услуг являются:

10.3. Содержание соглашения об аутсорсинге должно однозначно среди прочего определять:

6.3. Основное требование 2. Организация БС РФ должна разработать, применять и обеспечить контроль программы аутсорсинга, предусматривающей вопросы управления риском нарушения ИБ (далее - программа аутсорсинга).

Программа аутсорсинга должна определять:

В части мероприятий по управлению риском нарушения ИБ и контролю над ним программа аутсорсинга должна определять:

В части состава и содержания мероприятий по мониторингу и контролю деятельности поставщика услуг программа аутсорсинга должна определять:

Организация БС РФ должна реализовать контроль выполнения программы аутсорсинга, в том числе со стороны службы ИБ и службы внутреннего контроля, а также контроль со стороны исполнительного органа организации БС РФ.

8.2. Основным содержанием задач руководства организации БС РФ при аутсорсинге, определенным в настоящем стандарте, является:

6.2. Основное требование 1. В случае планирования передачи выполнения бизнес-функций поставщикам услуг на аутсорсинг организации БС РФ следует установить политику в отношении аутсорсинга существенных функций (далее - политика аутсорсинга).

Политика аутсорсинга должна среди прочего однозначно определять:

Политика аутсорсинга существенных функций должна быть принята советом директоров (наблюдательным советом) организации БС РФ, а в случае его отсутствия - исполнительным органом организации БС РФ.

В отношении аутсорсинга существенных функций организация БС РФ должна реализовать процедуры внутреннего контроля соответствия принятой политики аутсорсинга, результаты которого должны рассматриваться советом директоров (наблюдательным советом) организации БС РФ.

12.7. Контрольные ключевые параметры качества сервиса ИБ, вносимые в соглашение, должны быть измеримыми и представляться в виде числовых показателей (метрик). Состав ключевых показателей (ме‑ трик) качества определяется в зависимости от состава предоставляемых сервисов ИБ. Ключевыми пока‑ зателями (метриками) качества сервиса ИБ могут выступать среди прочих:

Количество метрик, включаемых в SLA, должно быть достаточным для проведения объективной оценки качества предоставления сервисов ИБ поставщиком услуг. 

А.5.20 Учет ИБ в соглашениях с поставщиками
С каждым поставщиком, в зависимости от типа отношений с ним, должны быть установлены и согласованы соответствующие требования ИБ

А.5.20 Addressing information security within supplier agreements
Relevant information security requirements shall be established and agreed with each supplier based on the type of supplier relationship.