9.5.1
Определенные требования подхода:
Устройства POI, которые захватывают данные платежных карт через прямое физическое взаимодействие с формой карты, защищаются от вмешательства и несанкционированной замены, включая следующее:
- Ведение списка устройств POI.
- Периодические проверки устройств POI на наличие вмешательства или несанкционированной замены.
- Обучение персонала выявлению подозрительного поведения и сообщения о вмешательстве или несанкционированной замене устройств.
Цель Индивидуального подхода:
У организации есть определенные процедуры для защиты и управления устройствами точек взаимодействия. Ожидания, контроль и надзор за управлением и защитой устройств POI определены и соблюдаются затронутым персоналом.
Примечания к применимости:
Эти требования применяются к установленным устройствам POI, используемым для транзакций с картами в присутствии (то есть, платежным картам, которые прокачиваются, прикладываются или вставляются). Эти требования не применяются к:
- Компонентам, используемым только для ручного ввода PAN.
- Коммерческим готовым устройствам (COTS), например, смартфонам или планшетам, которые являются мобильными устройствами торговцев, предназначенными для массового рынка.
Определенные Процедуры Тестирования Подхода:
- 9.5.1 Изучить документированные политики и процедуры, чтобы убедиться, что процессы определены с учетом всех элементов, указанных в этом требовании.
Цель:
Преступники пытаются украсть данные платежных карт, похищая и/или манипулируя устройствами для чтения карт и терминалами. Преступники могут попытаться украсть устройства, чтобы научиться взламывать их, а также часто заменяют легитимные устройства на мошеннические, которые передают данные платежных карт каждый раз, когда карта вводится в терминал.
Они также могут попытаться добавить компоненты "сканирования" (skimming) на внешнюю часть устройств, которые предназначены для захвата данных карты до того, как они войдут в устройство, например, прикрепив дополнительный считыватель карт на верхней части законного считывателя, чтобы данные карты захватывались дважды: сначала компонентом преступника, затем законным компонентом устройства. Таким образом, транзакции могут быть завершены без прерывания, пока преступник "сканирует" данные карты во время процесса.
Хорошая практика:
Организации могут рассмотреть возможность внедрения защиты от вмешательства и несанкционированной замены для:
- Компонентов, используемых только для ручного ввода PAN.
- Коммерческих готовых устройств (COTS), например, смартфонов или планшетов, которые являются мобильными устройствами торговцев, предназначенными для массового рынка.
Дополнительная информация:
Дополнительные лучшие практики по предотвращению сканирования (skimming) доступны на веб-сайте PCI SSC.