12.8.2
Определенные требования подхода:
Письменные соглашения с TPSP поддерживаются следующим образом:
- Письменные соглашения поддерживаются со всеми TPSP, с которыми данные счета передаются или которые могут повлиять на безопасность CDE.
- Письменные соглашения включают подтверждения от TPSP, что они несут ответственность за безопасность данных счета, которые они хранят, обрабатывают или передают от имени организации, или в той мере, в какой TPSP может повлиять на безопасность данных держателей карт и/или чувствительных данных аутентификации организации.
Цель Индивидуального подхода:
Ведутся записи о подтверждениях каждой TPSP о своей ответственности за защиту данных счета.
Примечания по применимости:
Точное содержание соглашения зависит от деталей предоставляемой услуги и обязанностей, возложенных на каждую сторону. Соглашение не обязано включать точные формулировки, указанные в этом требовании.
Письменное подтверждение от TPSP — это подтверждение, в котором говорится, что TPSP несет ответственность за безопасность данных счета, которые она может хранить, обрабатывать или передавать от имени клиента или в той мере, в какой TPSP может повлиять на безопасность данных держателей карт и/или чувствительных данных аутентификации клиента.
Доказательства того, что TPSP соблюдает требования PCI DSS (например, Attestation of Compliance (AOC) PCI DSS, декларация на сайте компании, политическое заявление, матрица ответственности или другие доказательства, не включенные в письменное соглашение), не считаются письменным подтверждением, указанным в этом требовании.
Определенные Процедуры Тестирования Подхода:
- 12.8.2.a Изучите политики и процедуры, чтобы проверить, что процессы для поддержания письменных соглашений со всеми TPSP определены в соответствии со всеми элементами, указанными в этом требовании.
- 12.8.2.b Изучите письменные соглашения с TPSP, чтобы убедиться, что они поддерживаются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Письменное подтверждение от TPSP демонстрирует ее обязательство поддерживать надлежащую безопасность данных счета, которые она получает от своих клиентов, и что TPSP полностью осведомлена о ресурсах, которые могут быть затронуты при предоставлении услуги TPSP. Степень, в которой конкретная TPSP несет ответственность за безопасность данных счета, зависит от предоставляемой услуги и обязанностей, согласованных между поставщиком и оцениваемой организацией (клиентом).
Вместе с требованием 12.9.1, это требование направлено на продвижение согласованного уровня понимания между сторонами относительно их обязательств по PCI DSS. Например, соглашение может включать соответствующие требования PCI DSS, которые должны быть поддержаны в рамках предоставляемой услуги.
Надлежащая практика:
Организация может также рассмотреть возможность включения в письменное соглашение с TPSP пункта о том, что TPSP будет поддерживать запросы организации на информацию в соответствии с требованием 12.9.2. Также важно понять, есть ли у TPSP «вложенные» отношения с другими TPSP, то есть если основной TPSP заключает соглашение с другим TPSP(ами) для предоставления услуги.
Необходимо понять, зависит ли основной TPSP от вторичных TPSP для достижения общей совместимости услуги и какие письменные соглашения заключены между основным TPSP и вторичными TPSP. Организациям рекомендуется включить в соглашение покрытие для любых «вложенных» TPSP, которых может использовать основной TPSP.
Дополнительная информация:
Смотрите «Information Supplement: Third-Party Security Assurance» для получения дополнительной информации.