12.9.2
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: TPPS поддерживают запросы своих клиентов о предоставлении информации в соответствии с требованиями 12.8.4 и 12.8.5, предоставляя следующее по запросу клиента:
- Информация о статусе соответствия PCI DSS для любой услуги, которую TPSP выполняет от имени клиентов (Требование 12.8.4).
- Информация о том, за какие требования PCI DSS отвечает TPSP, а за какие отвечает клиент, включая любые общие обязанности (Требование 12.8.5).
Цель Индивидуального подхода:
TPPS предоставляют информацию по мере необходимости для поддержки усилий своих клиентов по соблюдению требований PCI DSS.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Определенные Процедуры Тестирования Подхода:
- 12.9.2 Дополнительная процедура тестирования только для оценки поставщика услуг: Изучите политики и процедуры для проверки того, определены ли процессы для TPSP для поддержки запросов клиентов о предоставлении информации на соответствие требованиям 12.8.4 и 12.8.5 в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Если TPSP не предоставляет необходимую информацию, позволяющую своим клиентам выполнять свои требования безопасности и соответствия требованиям, клиенты не смогут защитить данные о держателях карт или выполнить свои собственные договорные обязательства.
Надлежащая практика:
Если у TPSP есть сертификат соответствия PCI DSS (AOC), ожидается, что TPSP должен предоставить его клиентам по запросу, чтобы продемонстрировать их статус соответствия PCI DSS.
Если TPSP не проходил оценку PCI DSS, они могут быть в состоянии предоставить другие достаточные доказательства, чтобы продемонстрировать, что он соответствует применимым требованиям, не проходя формальную проверку соответствия. Например, TPSP может предоставить конкретные доказательства эксперту по оценке организации, чтобы эксперт мог подтвердить выполнение применимых требований. В качестве альтернативы, TPSP может выбрать проведение нескольких оценок по требованию каждым из оценщиков своих клиентов, причем каждая оценка направлена на подтверждение соответствия применимым требованиям.
TPSP должны предоставить своим клиентам достаточные доказательства для подтверждения того, что объем оценки PCI DSS TPSP охватывает услуги, применимые к клиенту, и что соответствующие требования PCI DSS были изучены и определены как действующие.
TPSP могут определять свои обязанности по PCI DSS как одинаковые для всех своих клиентов; в противном случае эта ответственность должна быть согласована как клиентом, так и TPSP. Важно, чтобы клиент понимал, какие требования и подзаконные требования PCI DSS согласились выполнять его TPSP, какие требования являются общими для TPSP и клиента, а для тех, которые являются общими, конкретные сведения о том, как разделяются требования и какая организация отвечает за выполнение каждого подзаконного требования. Примером способа документирования этих обязанностей является использование матрицы, которая определяет все применимые требования PCI DSS и указывает, несет ли клиент или TPSP ответственность за выполнение этого требования или это общая ответственность.
Дополнительная информация:
Для получения дополнительных указаний обратитесь к:
Раздел PCI DSS: Использование сторонних поставщиков услуг.
Информационное дополнение: Обеспечение безопасности третьей стороной (включает образец шаблона матрицы ответственности).