9.5.1
Определенные требования подхода:
Устройства POI, которые захватывают данные платежных карт через прямое физическое взаимодействие с формой карты, защищаются от вмешательства и несанкционированной замены, включая следующее:

Цель Индивидуального подхода:
У организации есть определенные процедуры для защиты и управления устройствами точек взаимодействия. Ожидания, контроль и надзор за управлением и защитой устройств POI определены и соблюдаются затронутым персоналом.

Примечания к применимости:
Эти требования применяются к установленным устройствам POI, используемым для транзакций с картами в присутствии (то есть, платежным картам, которые прокачиваются, прикладываются или вставляются). Эти требования не применяются к:

Цель:
Преступники пытаются украсть данные платежных карт, похищая и/или манипулируя устройствами для чтения карт и терминалами. Преступники могут попытаться украсть устройства, чтобы научиться взламывать их, а также часто заменяют легитимные устройства на мошеннические, которые передают данные платежных карт каждый раз, когда карта вводится в терминал.
Они также могут попытаться добавить компоненты "сканирования" (skimming) на внешнюю часть устройств, которые предназначены для захвата данных карты до того, как они войдут в устройство, например, прикрепив дополнительный считыватель карт на верхней части законного считывателя, чтобы данные карты захватывались дважды: сначала компонентом преступника, затем законным компонентом устройства. Таким образом, транзакции могут быть завершены без прерывания, пока преступник "сканирует" данные карты во время процесса.

Хорошая практика:
Организации могут рассмотреть возможность внедрения защиты от вмешательства и несанкционированной замены для:

Дополнительная информация:
Дополнительные лучшие практики по предотвращению сканирования (skimming) доступны на веб-сайте PCI SSC.

9.5.1.1
Определенные Требования к Подходу:
Поддерживается актуальный список устройств POI, включая:

Цель Индивидуального подхода:
Идентификация и местоположение устройств POI записываются и известны в любое время.

Определенные Процедуры Тестирования Подхода:

Цель:
Ведение обновленного списка устройств POI помогает организации отслеживать, где должны находиться устройства, и быстро определять, отсутствует ли устройство или потеряно.

Надлежащая практика:
Способ ведения списка устройств может быть автоматизированным (например, система управления устройствами) или ручным (например, документированным в электронных или бумажных записях). Для дорожных устройств местоположение может включать имя персонала, которому назначено устройство.

Примеры:
Способы сохранения местоположения устройства включают в себя определение адреса сайта или объекта, на котором расположено устройство.

9.5.1.2
Определенные Требования к Подходу:
Поверхности POI-устройств периодически проверяются на предмет обнаружения несанкционированного вмешательства и несанкционированной замены.

Цель Индивидуального подхода:
Устройства точки взаимодействия не могут быть подделаны, заменены без разрешения или установлены скимминговые приложения без своевременного обнаружения.

Определенные Процедуры Тестирования Подхода:

Цель:
Регулярные проверки устройств помогут организациям быстрее выявлять подделку с помощью внешних доказательств — например, добавления скиммера для карт — или замены устройства, тем самым сводя к минимуму потенциальные последствия использования мошеннических устройств.

Надлежащая практика:
Методы периодической проверки включают проверку серийного номера или других характеристик устройства и сравнение информации со списком устройств POI, чтобы убедиться, что устройство не было заменено мошенническим устройством.

Примеры:
Тип проверки будет зависеть от устройства. Например, фотографии устройств, которые, как известно, являются безопасными, можно использовать для сравнения текущего внешнего вида устройства с его первоначальным внешним видом, чтобы увидеть, изменилось ли оно. Другим вариантом может быть использование надежного маркера, такого как маркер с ультрафиолетовым излучением, для маркировки поверхностей устройства и отверстий устройства, чтобы любое вмешательство или замена были очевидны. Преступники часто заменяют внешний корпус устройства, чтобы скрыть свое вмешательство, и эти методы могут помочь обнаружить такие действия. Поставщики устройств могут также предоставить рекомендации по безопасности и инструкции “как это сделать”, чтобы помочь определить, подвергалось ли устройство несанкционированному доступу.
Признаки того, что устройство могло быть подделано или заменено, включают:

9.5.1.2.1
Определенные Требования к Подходу:
Частота периодических проверок устройств POI и тип выполняемых проверок определяются в целевом анализе рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.

Цель Индивидуального подхода:
Устройства POI проверяются с частотой, учитывающей риск организации.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Организации имеют наилучшие возможности для определения частоты проверок POI-устройств в зависимости от среды, в которой работает устройство.

Надлежащая практика:
Частота проверок будет зависеть от таких факторов, как местоположение устройства и то, находится ли оно под наблюдением или без присмотра. Например, устройства, оставленные в общественных местах без присмотра персонала организации, могут подвергаться более частым проверкам, чем устройства, хранящиеся в безопасных зонах или под наблюдением, когда они доступны для общественности. Кроме того, многие поставщики POI включают в свою пользовательскую документацию указания о том, как часто и для чего следует проверять устройства POI – организациям следует ознакомиться с документацией своих поставщиков и включить эти рекомендации в свои периодические проверки.

9.5.1.3
Определенные Требования к Подходу:
Для персонала, работающего в среде POI, проводится обучение, чтобы он был осведомлен о попытках взлома или замены устройств POI, и включает в себя:

Цель Индивидуального подхода:
Персонал осведомлен о типах атак на устройства POI, технических и процедурных контрмерах организации и при необходимости может получить помощь и рекомендации.

Определенные Процедуры Тестирования Подхода:

Цель:
Преступники часто выдают себя за авторизованный обслуживающий персонал, чтобы получить доступ к устройствам POI.

Надлежащая практика:
Обучение персонала должно включать в себя предупреждение и опрос всех, кто приходит для обслуживания POI, чтобы убедиться, что они авторизованы и имеют действительный заказ на работу, включая любых агентов, обслуживающий или ремонтный персонал, техников, поставщиков услуг или других третьих лиц. Все третьи стороны, запрашивающие доступ к устройствам, всегда должны быть проверены перед предоставлением доступа — например, путем проверки у руководства или звонка в компанию по обслуживанию POI, такую как поставщик или покупатель, для проверки. Многие преступники будут пытаться обмануть персонал, одеваясь соответственно роли (например, носить ящики с инструментами и рабочую одежду), а также могут быть осведомлены о расположении устройств, поэтому персонал должен быть обучен всегда следовать процедурам.
Еще один трюк, который используют преступники, заключается в отправке “нового” POI-устройства с инструкциями по замене его на законное устройство и “возврату” законного устройства. Преступники могут даже предоставить обратную почтовую отправку по указанному ими адресу. Поэтому персонал всегда должен проверять у своего менеджера или поставщика, что устройство является законным и получено из надежного источника, прежде чем устанавливать его или использовать в коммерческих целях.

Примеры:
Подозрительное поведение, о котором должен знать персонал, включает попытки неизвестных лиц отключить или открыть устройства.
Информирование персонала о механизмах сообщения о подозрительном поведении и о том, кому сообщать о таком поведении — например, менеджеру или сотруднику службы безопасности, — поможет снизить вероятность и потенциальное воздействие подделки или замены устройства.