Куда я попал?
Стандарт ПС "Мир". Программа безопасности v.1.6
Стандарт
Настоящий документ устанавливает требования к защите информации при обработке данных платежных карт ПС «Мир», а также при осуществлении расчетов (переводов) Участниками ПС «Мир».
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
80
%
Входящая логистика
61
%
Создание продукта
57
%
Исходящая логистика
94
%
Маркетинг, продажа
90
%
Обслуживание клиента
62
%
Инфраструктура
57
%
HR-менеджмент
35
%
Технологии
95
%
Закупки / Снабжение
56
%
Опыт клиента
Список требований
-
1.2. Термины, определения и сокращения
Акционерное общество «Национальная система платежных карт» (НСПК) – оператор ПС «Мир».
Анализ защищенности – процесс проверки выполнения требований к обеспечению защиты информации в платежной системе с использованием программных средств в автоматизированном или ручном режиме.
Данные карт ПС «Мир» – набор данных, включающий данные о Держателе карты и критичные аутентификационные данные, указанные в разделе Appendix G PCI DSS Glossary of Terms, Abbreviations, and Acronyms Стандарта PCI DSS.
ИБ – информационная безопасность.
Инцидент информационной безопасности (Инцидент ИБ) – инцидент, связанный с нарушениями требований к обеспечению защиты информации при осуществлении Операций, к которому относятся:- события, которые привели или могут привести к осуществлению Операций без согласия Клиента;
- события, которые привели или могут привести к нарушению непрерывности или несвоевременности оказания платежных услуг, операционных услуг, услуг платежного клиринга и расчетных услуг по причине нарушения требований к обеспечению защиты информации;
- события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет.
Несанкционированный перевод денежных средств – перевод денежных средств лицами, не обладающими правом распоряжения денежными средствами.
Нефинансовый сервис – сервис, в котором используются Карты в целях, не связанных с осуществлением переводов денежных средств с использованием Карты (реквизитов Карты).
ОПКЦ НСПК – Операционный и платежный клиринговый центр АО «НСПК».
Платежный сервис-провайдер – Сервис-провайдер, который оказывает Участникам и третьим лицам, с которыми Участник осуществляет взаимодействие, услуги обмена информацией при осуществлении Операций с использованием Карт (реквизитов Карт) между Участниками, Держателями карт, ТСП, иными Платежными сервис-провайдерами, услуги авторизации, безопасной аутентификации, клиринга. Платежными сервис-провайдерами, в том числе являются агрегаторы (платежные агрегаторы), третьесторонние процессинговые центры, 3DS сервис-провайдеры.
Платежное программное обеспечение (Платежное ПО) – программное обеспечение, которое хранит, обрабатывает или передает Данные карт ПС «Мир» в целях проведения авторизации, клиринга или расчетов.
ПО – программное обеспечение.
Портал – портал поддержки https://support.nspk.ru/.
Сервис-провайдер – организация, предоставляющая Участникам, Платежным Сервис-провайдерам и/или ТСП услуги по хранению, обработке или передаче данных платежных карт и/или имеющая возможность влиять на безопасность таких данных. Примерами таких компаний могут являться компании, предоставляющие услуги co-location, IaaS (Infrastructure-as-a-Service), SaaS (Software-as-a-Service), разработки ПО, сервисного обслуживания банкоматов и POS-терминалов, а также услуги по авторизации, клирингу. Организации, предоставляющие услуги связи (телекоммуникационные услуги), не являются Сервис-провайдерами.
AOC (Attestation of Compliance) – Аттестат соответствия.
ASV (Approved Scanning Vendor) – Авторизованный поставщик услуг сканирования уязвимостей.
ISA (Internal Security Assessor) — внутренние аудиторы, прошедшие обучение и сертифицированные по программе Совета PCI SSC, согласно перечню https://www.pcisecuritystandards.org/assessors_and_solutions/internal_security_assessors/.
PCI DSS (Payment Card Industry Data Security Standard) – Стандарт безопасности данных индустрии платежных карт.
PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт.
QR-код – Графическое изображение согласно ISO 18004, формат и содержимое которого соответствует требованиям к Consumer-Presented QR.
QSA (Qualified Security Assessor) – юридическое лицо, которое аккредитовано PCI SSC как QSA-компания и числится в списке на сайте: https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors.
ROC (Report on Compliance) – Отчет о соответствии.
SAQ (Self Assessment Questionnaire) – Лист самооценки.
Иные термины, используемые в настоящем документе, применяются в значениях, установленных в Правилах Платежной системы «Мир», Стандарте ПС «Мир». Требования по безопасности к Решению SoftPOS и разделе Appendix G PCI DSS Glossary of Terms, Abbreviations, and Acronyms Стандарта PCI DSS. -
2.1.3 Расчетные центры (кроме Банка России) должны обеспечивать защиту информации в соответствии с требованиями Положения Банка России № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 821-П), применимых к Операторам услуг платежной инфраструктуры.
-
2.3.2 Косвенные участники, у которых в предыдущем календарном году была подтверждена<2> компрометация Карт ПС «Мир», должны подтверждать соответствие PCI DSS следующим образом:
- пройти сертификационный аудит в текущем календарном году;
- выполнять ежеквартальное ASV-сканирование в течение текущего календарного года.
<2> Компрометация Карт ПС «Мир» у Косвенного участника считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в инфраструктуре Косвенного участника был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником». -
2.3.5 Косвенные участники обязаны обеспечивать выполнение требований стандарта PCI DSS Сервис-провайдерами, услугами которых они пользуются. Сервис-провайдер может подтвердить свое соответствие требованиям стандарта PCI DSS как в рамках сертификационного аудита Косвенного участника, так и в рамках самостоятельного сертификационного аудита PCI DSS.
-
2.3.6 Косвенный участник отчитывается о соответствии требованиям стандарта PCI DSS своему Спонсору. Форму и сроки отчетности для Косвенного участника устанавливает Спонсор. АО «НСПК» оставляет за собой право в любой момент запросить у Прямого участника документы, подтверждающие соответствие Косвенного участника требованиям PCI DSS.
-
2.4.12 Платежные сервис-провайдеры уровня L2 отчитываются о соответствии стандарту PCI DSS перед Участниками или TPP, с которыми взаимодействуют. АО «НСПК» вправе в любой момент запросить у Участника документы, подтверждающие соответствие Платежного сервис-провайдера уровня L2 требованиям PCI DSS. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК»
-
2.4.13 Платежный сервис-провайдер, в том числе ТРР, должен обеспечить выполнение требований PCI DSS Сервис-провайдером, привлеченным им для оказания услуг. Сервис-провайдер может подтвердить свое соответствие в рамках сертификационного аудита Платежного сервис-провайдера или проведя сертификационный аудит PCI DSS самостоятельно.
-
2.5.4 К ТСП уровня L1 относятся:
- ТСП, у которых ежегодно проводится более 6 миллионов Операций по Картам ПС «Мир»;
- любые ТСП, по которым в предыдущем календарном году была подтверждена компрометация<4> Карт «Мир».
<4> Компрометация Карт ПС «Мир» у ТСП считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в точке обслуживания в ТСП был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником». -
2.6. Требования к Расчетным центрам
АО «НСПК» оставляет за собой право запросить у Расчетных центров (кроме Банка России) документы, подтверждающие выполнение требований Положения 821-П в любой момент. Расчетные центры (кроме Банка России) обязаны обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК». -
2.7.2 АО «НСПК» проводит оценку Отчетов о соответствии (ROC). Проверка проводится с целью удостовериться в том, что документированные свидетельства выполнения тестовых процедур подтверждают выполнение проверяемых требований. Оценка проводится согласно положениям Программы оценки, приведенной в Приложении 4 настоящего Стандарта.
-
2.8.6 Для внеочередного включения Платежного сервис-провайдера в список Участник должен создать задачу с запросом в свободной форме на Портале в проекте «Программа безопасности (Наименование Участника)». После представления запрашиваемых АО «НСПК» сведений и их проверки на стороне АО «НСПК», АО «НСПК» обновляет список Платежных сервис-провайдеров, соответствующих требованиям стандарта PCI DSS.
-
3.2 В случае предоставления Держателям карт платежного программного обеспечения, разработанного Участником или Платежным сервис-провайдером самостоятельно или на заказ, такое ПО и процессы его разработки должны соответствовать требованиям раздела 6 стандарта PCI DSS или требованиям PCI Secure Software Standard и PCI Secure SLC Standard. Оценка соответствия ПО требованиям раздела 6 PCI DSS должна выполняться в рамках сертификационного аудита Участника или Платежного сервис-провайдера. ПО, разработанное согласно требованиям PCI Secure Software Standard, должно быть сертифицировано в соответствии с порядком, определенным в Secure Software Program Guide.
-
4.1 Участники, ТРР и привлеченные ими Сервис-провайдеры, которые вовлечены в процессы работы с ключевой информацией и обработки ПИН-кода, должны полностью выполнять требования стандарта PCI PIN Security, размещенному в сети Интернет по адресу https://www.pcisecuritystandards.org/document_library. Требования к отчетности не устанавливаются. АО «НСПК» вправе запросить у Участника документы, подтверждающие соответствие указанному стандарту Участника, TPP и привлеченных ими Сервис-провайдеров в любой момент. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».
-
7.1 Согласно положениям документа «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником» [2] Участники должны осуществлять обработку Инцидентов ИБ, обладающих следующими признаками:
- в результате которых появились подозрения в компрометации или которые привели к компрометации данных Карт в своей инфраструктуре, в инфраструктуре привлеченных Участником организаций или в организациях, которые привлекаются привлеченными Участником организациями и участвуют в обеспечении приема Карт и (или) осуществлении Операций;
- которые привели или могли привести к нарушению непрерывности или несвоевременности оказания услуг по осуществлению Операций Участниками по причине нарушения требований к обеспечению защиты информации;
- которые привели или могли привести к несанкционированным переводам денежных средств в инфраструктуре Участника.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.