12.8.1
Определенные Требования к Подходу:
Ведется список всех сторонних поставщиков услуг (TPSP), с которыми передаются данные учетной записи или которые могут повлиять на безопасность данных учетной записи, включая описание каждой из предоставляемых услуг.

Цель Индивидуального подхода:
Ведется учет TPPS и предоставляемых услуг.

Примечания по применению:
Использование TPSP, совместимого с PCI DSS, не делает организацию совместимой с PCI DSS и не снимает с организации ответственности за ее собственное соответствие требованиям PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Ведение списка всех TPSP определяет, где потенциальный риск распространяется за пределы организации, и определяет расширенную зону атаки организации.

Примеры:
Различные типы TPSP включают те, которые:

12.8.2
Определенные требования подхода:

Письменные соглашения с TPSP поддерживаются следующим образом:

Цель Индивидуального подхода:
Ведутся записи о подтверждениях каждой TPSP о своей ответственности за защиту данных счета.

Примечания по применимости:
Точное содержание соглашения зависит от деталей предоставляемой услуги и обязанностей, возложенных на каждую сторону. Соглашение не обязано включать точные формулировки, указанные в этом требовании.
Письменное подтверждение от TPSP — это подтверждение, в котором говорится, что TPSP несет ответственность за безопасность данных счета, которые она может хранить, обрабатывать или передавать от имени клиента или в той мере, в какой TPSP может повлиять на безопасность данных держателей карт и/или чувствительных данных аутентификации клиента.
Доказательства того, что TPSP соблюдает требования PCI DSS (например, Attestation of Compliance (AOC) PCI DSS, декларация на сайте компании, политическое заявление, матрица ответственности или другие доказательства, не включенные в письменное соглашение), не считаются письменным подтверждением, указанным в этом требовании.

Цель:
Письменное подтверждение от TPSP демонстрирует ее обязательство поддерживать надлежащую безопасность данных счета, которые она получает от своих клиентов, и что TPSP полностью осведомлена о ресурсах, которые могут быть затронуты при предоставлении услуги TPSP. Степень, в которой конкретная TPSP несет ответственность за безопасность данных счета, зависит от предоставляемой услуги и обязанностей, согласованных между поставщиком и оцениваемой организацией (клиентом).
Вместе с требованием 12.9.1, это требование направлено на продвижение согласованного уровня понимания между сторонами относительно их обязательств по PCI DSS. Например, соглашение может включать соответствующие требования PCI DSS, которые должны быть поддержаны в рамках предоставляемой услуги.

Надлежащая практика:
Организация может также рассмотреть возможность включения в письменное соглашение с TPSP пункта о том, что TPSP будет поддерживать запросы организации на информацию в соответствии с требованием 12.9.2. Также важно понять, есть ли у TPSP «вложенные» отношения с другими TPSP, то есть если основной TPSP заключает соглашение с другим TPSP(ами) для предоставления услуги.
Необходимо понять, зависит ли основной TPSP от вторичных TPSP для достижения общей совместимости услуги и какие письменные соглашения заключены между основным TPSP и вторичными TPSP. Организациям рекомендуется включить в соглашение покрытие для любых «вложенных» TPSP, которых может использовать основной TPSP.

Дополнительная информация:
Смотрите «Information Supplement: Third-Party Security Assurance» для получения дополнительной информации.

12.8.3
Определенные Требования к Подходу:
Внедрен установленный процесс привлечения TPPS, включая надлежащую должную осмотрительность перед привлечением.

Цель Индивидуального подхода:
Возможности, намерения и ресурсы потенциального TPSP для надлежащей защиты данных учетной записи оцениваются до того, как будет задействован TPSP.

Определенные Процедуры Тестирования Подхода:

Цель:
Тщательный процесс привлечения TPSP, включая детали отбора и проверки перед привлечением, помогает обеспечить тщательную внутреннюю проверку TPSP организацией до установления официальных отношений и понимание риска для данных о держателях карт, связанного с привлечением TPSP.

Надлежащая практика:
Конкретные процессы и цели должной осмотрительности будут отличаться для каждой организации. Элементы, которые следует учитывать, включают в себя практику отчетности поставщика, процедуры уведомления о нарушениях и реагирования на инциденты, подробную информацию о том, как распределяются обязанности PCI DSS между каждой стороной, как TPSP проверяет их соответствие требованиям PCI DSS и какие доказательства они предоставляют.

12.8.4
Определенные Требования к Подходу:
Внедрена программа для мониторинга статуса соответствия TPSP PCI DSS не реже одного раза в 12 месяцев.

Цель Индивидуального подхода:
Статус соответствия TPSP стандарту PCI DSS периодически проверяется.

Примечания по применению:
Если у организации есть соглашение с TPSP о выполнении требований PCI DSS от имени организации (например, через службу брандмауэра), организация должна работать с TPSP, чтобы убедиться, что применимые требования PCI DSS соблюдены. Если TPSP не соответствует этим применимым требованиям PCI DSS, то эти требования также “не действуют” для организации.

Определенные Процедуры Тестирования Подхода:

Цель:
Знание статуса соответствия PCI DSS всех задействованных TPPS обеспечивает уверенность и осведомленность о том, соответствуют ли они требованиям, применимым к услугам, которые они предлагают организации.

Надлежащая практика:
Если TPSP предлагает различные услуги, статус соответствия, который отслеживает организация, должен быть специфичным для тех услуг, которые предоставляются организации, и тех услуг, которые подпадают под оценку PCI DSS организации.
Если у TPSP есть сертификат соответствия PCI DSS (AOC), ожидается, что TPSP должен предоставить его клиентам по запросу, чтобы продемонстрировать их статус соответствия PCI DSS.
Если TPSP не проходил оценку PCI DSS, он может быть в состоянии предоставить другие достаточные доказательства, чтобы продемонстрировать, что он соответствует применимым требованиям, не проходя формальную проверку соответствия. Например, TPSP может предоставить конкретные доказательства эксперту по оценке организации, чтобы эксперт мог подтвердить выполнение применимых требований. В качестве альтернативы, TPSP может выбрать проведение нескольких оценок по требованию каждым из оценщиков своих клиентов, причем каждая оценка направлена на подтверждение соответствия применимым требованиям.

Дополнительная информация:
Для получения дополнительной информации о сторонних поставщиках услуг обратитесь к:

12.8.5
Определенные Требования к Подходу:
Сохраняется информация о том, какие требования PCI DSS выполняются каждым TPSP, которые управляются организацией, и о любых требованиях, которые совместно используются между TPSP и организацией.

Цель Индивидуального подхода:
Записи с подробным описанием требований PCI DSS и связанных с ними системных компонентов, за которые каждый TPSP несет единоличную или совместную ответственность, ведутся и периодически пересматриваются.

Определенные Процедуры Тестирования Подхода:

Цель:
Важно, чтобы организация понимала, какие требования и подзаконные требования PCI DSS согласились выполнять ее TPSP, какие требования являются общими для TPSP и организации, а для тех, которые являются общими, конкретные сведения о том, как распределяются требования и какая организация отвечает за выполнение каждого подзаконного требования.
Без этого общего понимания неизбежно, что организация и TPSP будут считать, что данное дополнительное требование PCI DSS является обязанностью другой стороны, и, следовательно, это дополнительное требование может вообще не выполняться.
Конкретная информация, которую хранит организация, будет зависеть от конкретного соглашения с ее поставщиками, типа услуги и т.д. TPSP могут определять свои обязанности по PCI DSS как одинаковые для всех своих клиентов; в противном случае эта ответственность должна быть согласована как организацией, так и TPSP.

Надлежащая практика:
Организации могут документировать эти обязанности с помощью матрицы, которая идентифицирует все применимые требования PCI DSS и указывает для каждого требования, несет ли организация или TPSP ответственность за выполнение этого требования или это общая ответственность. Этот тип документа часто называют матрицей ответственности.
Для организаций также важно понимать, имеют ли какие-либо TPSP “вложенные” отношения с другими TPSP, что означает, что первичный TPSP заключает контракты с другим TPSP(ами) в целях предоставления услуги. Важно понимать, полагается ли первичный TPSP на вторичный TPSP(ы) для достижения общего соответствия сервиса, и как первичный TPSP отслеживает производительность сервиса и статус соответствия PCI DSS вторичного TPSP(ов). Обратите внимание, что ответственность за управление и мониторинг любых вторичных TPSP лежит на первичном TPSP.

Дополнительная информация:
Образец шаблона матрицы ответственности приведен в Информационном дополнении: Обеспечение безопасности третьей стороной.