12.9.2
Определенные требования подхода:
Дополнительное требование только для поставщиков услуг:
TPSP поддерживают запросы своих клиентов на получение информации для выполнения требований 12.8.4 и 12.8.5, предоставляя следующее по запросу клиента:
- Информацию о статусе соответствия PCI DSS (требование 12.8.4).
- Информацию о том, какие требования PCI DSS являются ответственностью TPSP, а какие — ответственностью клиента, включая любые общие ответственности (требование 12.8.5), для любой услуги, которую TPSP предоставляет от имени клиента и которая соответствует требованиям PCI DSS или может повлиять на безопасность данных держателя карты или чувствительных данных аутентификации клиентов.
Цель Индивидуального подхода:
TPSP предоставляет информацию, необходимую для поддержки усилий своих клиентов по соблюдению PCI DSS.
Примечания по применимости:
Это требование применяется только в случае, если оцениваемая организация является поставщиком услуг.
Определенные Процедуры Тестирования Подхода:
- 12.9.2 Дополнительная процедура тестирования только для оценки поставщиков услуг: Изучите политики и процедуры, чтобы проверить, что процессы для поддержки запросов клиентов на получение информации, чтобы выполнить требования 12.8.4 и 12.8.5, определены в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Если TPSP не предоставляет необходимую информацию для того, чтобы ее клиенты могли выполнить свои требования по безопасности и соответствию, клиенты не смогут защитить данные держателей карт и выполнить свои контрактные обязательства.
Надлежащая практика:
Если у TPSP есть Attestation of Compliance (AOC) по PCI DSS, ожидается, что TPSP предоставит его своим клиентам по запросу, чтобы продемонстрировать свой статус соответствия PCI DSS.
Если TPSP не проходил оценку по PCI DSS, он может предоставить другие достаточные доказательства, чтобы продемонстрировать, что он соответствует применимым требованиям, без прохождения формальной валидации соответствия. Например, TPSP может предоставить конкретные доказательства оценщику клиента, чтобы тот мог подтвердить, что соответствующие требования выполнены. В качестве альтернативы TPSP может пройти несколько оценок по запросу каждого из оценщиков клиентов, каждая из которых будет направлена на подтверждение того, что соответствующие требования выполнены.
TPSP должны предоставлять своим клиентам достаточные доказательства, чтобы те могли удостовериться, что объем оценки PCI DSS для TPSP покрывает услуги, применимые к клиенту, и что соответствующие требования PCI DSS были проверены и признаны выполненными.
TPSP могут определить свои обязательства по PCI DSS одинаковыми для всех своих клиентов; в противном случае это обязательство должно быть согласовано как с клиентом, так и с TPSP. Важно, чтобы клиент понимал, какие требования PCI DSS и подпункты требований TPSP согласились выполнить, какие требования являются общими для TPSP и клиента, и в случае общих требований — как эти требования делятся и кто несет ответственность за выполнение каждого подпункта. Примером способа документирования этих обязательств является матрица, которая идентифицирует все применимые требования PCI DSS и указывает, кто из сторон (клиент или TPSP) несет ответственность за выполнение того или иного требования или для которых требуется совместная ответственность.
Дополнительная информация:
Для дальнейших указаний см. следующие материалы:
- Раздел PCI DSS: Использование поставщиков услуг третьих сторон.
- Информационное дополнение: Обеспечение безопасности поставщиков услуг третьих сторон (включает шаблон матрицы ответственности).