9.5.1
Определенные требования подхода:
Устройства POI, которые захватывают данные платежных карт через прямое физическое взаимодействие с формой карты, защищаются от вмешательства и несанкционированной замены, включая следующее:

Цель Индивидуального подхода:
У организации есть определенные процедуры для защиты и управления устройствами точек взаимодействия. Ожидания, контроль и надзор за управлением и защитой устройств POI определены и соблюдаются затронутым персоналом.

Примечания к применимости:
Эти требования применяются к установленным устройствам POI, используемым для транзакций с картами в присутствии (то есть, платежным картам, которые прокачиваются, прикладываются или вставляются). Эти требования не применяются к:

Цель:
Преступники пытаются украсть данные платежных карт, похищая и/или манипулируя устройствами для чтения карт и терминалами. Преступники могут попытаться украсть устройства, чтобы научиться взламывать их, а также часто заменяют легитимные устройства на мошеннические, которые передают данные платежных карт каждый раз, когда карта вводится в терминал.
Они также могут попытаться добавить компоненты "сканирования" (skimming) на внешнюю часть устройств, которые предназначены для захвата данных карты до того, как они войдут в устройство, например, прикрепив дополнительный считыватель карт на верхней части законного считывателя, чтобы данные карты захватывались дважды: сначала компонентом преступника, затем законным компонентом устройства. Таким образом, транзакции могут быть завершены без прерывания, пока преступник "сканирует" данные карты во время процесса.

Хорошая практика:
Организации могут рассмотреть возможность внедрения защиты от вмешательства и несанкционированной замены для:

Дополнительная информация:
Дополнительные лучшие практики по предотвращению сканирования (skimming) доступны на веб-сайте PCI SSC.

9.5.1.3
Определенные Требования к Подходу:
Для персонала, работающего в среде POI, проводится обучение, чтобы он был осведомлен о попытках взлома или замены устройств POI, и включает в себя:

Цель Индивидуального подхода:
Персонал осведомлен о типах атак на устройства POI, технических и процедурных контрмерах организации и при необходимости может получить помощь и рекомендации.

Определенные Процедуры Тестирования Подхода:

Цель:
Преступники часто выдают себя за авторизованный обслуживающий персонал, чтобы получить доступ к устройствам POI.

Надлежащая практика:
Обучение персонала должно включать в себя предупреждение и опрос всех, кто приходит для обслуживания POI, чтобы убедиться, что они авторизованы и имеют действительный заказ на работу, включая любых агентов, обслуживающий или ремонтный персонал, техников, поставщиков услуг или других третьих лиц. Все третьи стороны, запрашивающие доступ к устройствам, всегда должны быть проверены перед предоставлением доступа — например, путем проверки у руководства или звонка в компанию по обслуживанию POI, такую как поставщик или покупатель, для проверки. Многие преступники будут пытаться обмануть персонал, одеваясь соответственно роли (например, носить ящики с инструментами и рабочую одежду), а также могут быть осведомлены о расположении устройств, поэтому персонал должен быть обучен всегда следовать процедурам.
Еще один трюк, который используют преступники, заключается в отправке “нового” POI-устройства с инструкциями по замене его на законное устройство и “возврату” законного устройства. Преступники могут даже предоставить обратную почтовую отправку по указанному ими адресу. Поэтому персонал всегда должен проверять у своего менеджера или поставщика, что устройство является законным и получено из надежного источника, прежде чем устанавливать его или использовать в коммерческих целях.

Примеры:
Подозрительное поведение, о котором должен знать персонал, включает попытки неизвестных лиц отключить или открыть устройства.
Информирование персонала о механизмах сообщения о подозрительном поведении и о том, кому сообщать о таком поведении — например, менеджеру или сотруднику службы безопасности, — поможет снизить вероятность и потенциальное воздействие подделки или замены устройства.