9.5.1
Определенные Требования к Подходу:
Устройства POI, которые фиксируют данные платежной карты посредством прямого физического взаимодействия с форм-фактором платежной карты, защищены от подделки и несанкционированной замены, включая следующее:

Цель Индивидуального подхода:
Организация определила процедуры для защиты устройств точки взаимодействия и управления ими. Ожидания, средства контроля и надзора в отношении управления и защиты устройств POI определяются и соблюдаются соответствующим персоналом.

Примечания по применению:
Эти требования применяются к развернутым устройствам POI, используемым в транзакциях с использованием карты (то есть форм-фактор платежной карты, такой как карта, которую проводят пальцем, нажимают или опускают).
Это требование не предназначено для применения к компонентам ручного ввода клавиш панорамирования, таким как компьютерные клавиатуры. Это требование рекомендуется, но не обязательно, для компонентов ручного ввода клавиш панорамирования, таких как компьютерные клавиатуры.
Это требование не распространяется на коммерческие готовые устройства (COTS) (например, смартфоны или планшеты), которые являются мобильными торговыми устройствами, предназначенными для массового распространения.

Определенные Процедуры Тестирования Подхода:

Цель:
Мошенники пытаются украсть данные платежных карт, крадя и/или манипулируя устройствами и терминалами для считывания карт. Преступники будут пытаться украсть устройства, чтобы узнать, как взломать их, и они часто пытаются заменить законные устройства мошенническими устройствами, которые отправляют им данные платежной карты каждый раз, когда вводится карта.
Они также попытаются добавить компоненты “скимминга” на внешнюю сторону устройств, которые предназначены для захвата данных платежных карт до того, как они попадут на устройство — например, путем подключения дополнительного устройства чтения карт поверх обычного устройства чтения карт, чтобы данные платежной карты были захвачены дважды: один раз вредоносным компонентом, а затем легальным компонентом устройства. Таким образом, транзакции все еще могут быть завершены без перерыва, в то время как преступник “снимает” данные платежной карты во время процесса.

Надлежащая практика:
Дополнительные рекомендации по предотвращению скимминга доступны на веб-сайте PCI SSC.

9.5.1.1
Определенные Требования к Подходу:
Поддерживается актуальный список устройств POI, включая:

Цель Индивидуального подхода:
Идентификация и местоположение устройств POI записываются и известны в любое время.

Определенные Процедуры Тестирования Подхода:

Цель:
Ведение обновленного списка устройств POI помогает организации отслеживать, где должны находиться устройства, и быстро определять, отсутствует ли устройство или потеряно.

Надлежащая практика:
Способ ведения списка устройств может быть автоматизированным (например, система управления устройствами) или ручным (например, документированным в электронных или бумажных записях). Для дорожных устройств местоположение может включать имя персонала, которому назначено устройство.

Примеры:
Способы сохранения местоположения устройства включают в себя определение адреса сайта или объекта, на котором расположено устройство.

9.5.1.2
Определенные Требования к Подходу:
Поверхности POI-устройств периодически проверяются на предмет обнаружения несанкционированного вмешательства и несанкционированной замены.

Цель Индивидуального подхода:
Устройства точки взаимодействия не могут быть подделаны, заменены без разрешения или установлены скимминговые приложения без своевременного обнаружения.

Определенные Процедуры Тестирования Подхода:

Цель:
Регулярные проверки устройств помогут организациям быстрее выявлять подделку с помощью внешних доказательств — например, добавления скиммера для карт — или замены устройства, тем самым сводя к минимуму потенциальные последствия использования мошеннических устройств.

Надлежащая практика:
Методы периодической проверки включают проверку серийного номера или других характеристик устройства и сравнение информации со списком устройств POI, чтобы убедиться, что устройство не было заменено мошенническим устройством.

Примеры:
Тип проверки будет зависеть от устройства. Например, фотографии устройств, которые, как известно, являются безопасными, можно использовать для сравнения текущего внешнего вида устройства с его первоначальным внешним видом, чтобы увидеть, изменилось ли оно. Другим вариантом может быть использование надежного маркера, такого как маркер с ультрафиолетовым излучением, для маркировки поверхностей устройства и отверстий устройства, чтобы любое вмешательство или замена были очевидны. Преступники часто заменяют внешний корпус устройства, чтобы скрыть свое вмешательство, и эти методы могут помочь обнаружить такие действия. Поставщики устройств могут также предоставить рекомендации по безопасности и инструкции “как это сделать”, чтобы помочь определить, подвергалось ли устройство несанкционированному доступу.
Признаки того, что устройство могло быть подделано или заменено, включают:

9.5.1.2.1
Определенные Требования к Подходу:
Частота периодических проверок устройств POI и тип выполняемых проверок определяются в целевом анализе рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.

Цель Индивидуального подхода:
Устройства POI проверяются с частотой, учитывающей риск организации.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Организации имеют наилучшие возможности для определения частоты проверок POI-устройств в зависимости от среды, в которой работает устройство.

Надлежащая практика:
Частота проверок будет зависеть от таких факторов, как местоположение устройства и то, находится ли оно под наблюдением или без присмотра. Например, устройства, оставленные в общественных местах без присмотра персонала организации, могут подвергаться более частым проверкам, чем устройства, хранящиеся в безопасных зонах или под наблюдением, когда они доступны для общественности. Кроме того, многие поставщики POI включают в свою пользовательскую документацию указания о том, как часто и для чего следует проверять устройства POI – организациям следует ознакомиться с документацией своих поставщиков и включить эти рекомендации в свои периодические проверки.

9.5.1.3
Определенные Требования к Подходу:
Для персонала, работающего в среде POI, проводится обучение, чтобы он был осведомлен о попытках взлома или замены устройств POI, и включает в себя:

Цель Индивидуального подхода:
Персонал осведомлен о типах атак на устройства POI, технических и процедурных контрмерах организации и при необходимости может получить помощь и рекомендации.

Определенные Процедуры Тестирования Подхода:

Цель:
Преступники часто выдают себя за авторизованный обслуживающий персонал, чтобы получить доступ к устройствам POI.

Надлежащая практика:
Обучение персонала должно включать в себя предупреждение и опрос всех, кто приходит для обслуживания POI, чтобы убедиться, что они авторизованы и имеют действительный заказ на работу, включая любых агентов, обслуживающий или ремонтный персонал, техников, поставщиков услуг или других третьих лиц. Все третьи стороны, запрашивающие доступ к устройствам, всегда должны быть проверены перед предоставлением доступа — например, путем проверки у руководства или звонка в компанию по обслуживанию POI, такую как поставщик или покупатель, для проверки. Многие преступники будут пытаться обмануть персонал, одеваясь соответственно роли (например, носить ящики с инструментами и рабочую одежду), а также могут быть осведомлены о расположении устройств, поэтому персонал должен быть обучен всегда следовать процедурам.
Еще один трюк, который используют преступники, заключается в отправке “нового” POI-устройства с инструкциями по замене его на законное устройство и “возврату” законного устройства. Преступники могут даже предоставить обратную почтовую отправку по указанному ими адресу. Поэтому персонал всегда должен проверять у своего менеджера или поставщика, что устройство является законным и получено из надежного источника, прежде чем устанавливать его или использовать в коммерческих целях.

Примеры:
Подозрительное поведение, о котором должен знать персонал, включает попытки неизвестных лиц отключить или открыть устройства.
Информирование персонала о механизмах сообщения о подозрительном поведении и о том, кому сообщать о таком поведении — например, менеджеру или сотруднику службы безопасности, — поможет снизить вероятность и потенциальное воздействие подделки или замены устройства.