ПС Мир. Программа безопасности - Контроль соответствия

1. Общие положения

1.1. Назначение и область применения документа
Настоящий документ устанавливает требования к защите информации при обработке данных платежных карт ПС «Мир», а также при осуществлении расчетов (переводов) Участниками ПС «Мир».
Документ предназначен для Участников, третьих лиц, с которыми Участник осуществляет взаимодействие (ТСП, ТРР и иных организаций), а также для Операторов услуг платежной инфраструктуры, осуществляющих функции Расчетных центров в рамках ПС «Мир» (кроме Банка России).
Участник несет ответственность за то, чтобы требования Стандарта к защите информации в части достаточной и необходимой для осуществления деятельности по обработке данных платежных карт ПС «Мир» были доведены до третьих лиц, с которыми Участник осуществляет взаимодействие, и соблюдались ими.

1.2. Термины, определения и сокращения
Акционерное общество «Национальная система платежных карт» (НСПК) – оператор ПС «Мир».
Анализ защищенности – процесс проверки выполнения требований к обеспечению защиты информации в платежной системе с использованием программных средств в автоматизированном или ручном режиме.
Данные карт ПС «Мир» – набор данных, включающий данные о Держателе карты и критичные аутентификационные данные, указанные в разделе Appendix G PCI DSS Glossary of Terms, Abbreviations, and Acronyms Стандарта PCI DSS.
ИБ – информационная безопасность.
Инцидент информационной безопасности (Инцидент ИБ) – инцидент, связанный с нарушениями требований к обеспечению защиты информации при осуществлении Операций, к которому относятся:

события, которые привели или могут привести к осуществлению Операций без согласия Клиента;
события, которые привели или могут привести к нарушению непрерывности или несвоевременности оказания платежных услуг, операционных услуг, услуг платежного клиринга и расчетных услуг по причине нарушения требований к обеспечению защиты информации;
события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет.

Несанкционированный перевод денежных средств – перевод денежных средств лицами, не обладающими правом распоряжения денежными средствами.
Нефинансовый сервис – сервис, в котором используются Карты в целях, не связанных с осуществлением переводов денежных средств с использованием Карты (реквизитов Карты).
ОПКЦ НСПК – Операционный и платежный клиринговый центр АО «НСПК».
Платежный сервис-провайдер – Сервис-провайдер, который оказывает Участникам и третьим лицам, с которыми Участник осуществляет взаимодействие, услуги обмена информацией при осуществлении Операций с использованием Карт (реквизитов Карт) между Участниками, Держателями карт, ТСП, иными Платежными сервис-провайдерами, услуги авторизации, безопасной аутентификации, клиринга. Платежными сервис-провайдерами, в том числе являются агрегаторы (платежные агрегаторы), третьесторонние процессинговые центры, 3DS сервис-провайдеры.
Платежное программное обеспечение (Платежное ПО) – программное обеспечение, которое хранит, обрабатывает или передает Данные карт ПС «Мир» в целях проведения авторизации, клиринга или расчетов.
ПО – программное обеспечение.
Портал – портал поддержки https://support.nspk.ru/.
Сервис-провайдер – организация, предоставляющая Участникам, Платежным Сервис-провайдерам и/или ТСП услуги по хранению, обработке или передаче данных платежных карт и/или имеющая возможность влиять на безопасность таких данных. Примерами таких компаний могут являться компании, предоставляющие услуги co-location, IaaS (Infrastructure-as-a-Service), SaaS (Software-as-a-Service), разработки ПО, сервисного обслуживания банкоматов и POS-терминалов, а также услуги по авторизации, клирингу. Организации, предоставляющие услуги связи (телекоммуникационные услуги), не являются Сервис-провайдерами.
AOC (Attestation of Compliance) – Аттестат соответствия.
ASV (Approved Scanning Vendor) – Авторизованный поставщик услуг сканирования уязвимостей.
ISA (Internal Security Assessor) — внутренние аудиторы, прошедшие обучение и сертифицированные по программе Совета PCI SSC, согласно перечню https://www.pcisecuritystandards.org/assessors_and_solutions/internal_security_assessors/.
PCI DSS (Payment Card Industry Data Security Standard) – Стандарт безопасности данных индустрии платежных карт.
PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт.
QR-код – Графическое изображение согласно ISO 18004, формат и содержимое которого соответствует требованиям к Consumer-Presented QR.
QSA (Qualified Security Assessor) – юридическое лицо, которое аккредитовано PCI SSC как QSA-компания и числится в списке на сайте: https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors.
ROC (Report on Compliance) – Отчет о соответствии.
SAQ (Self Assessment Questionnaire) – Лист самооценки.
Иные термины, используемые в настоящем документе, применяются в значениях, установленных в Правилах Платежной системы «Мир», Стандарте ПС «Мир». Требования по безопасности к Решению SoftPOS и разделе Appendix G PCI DSS Glossary of Terms, Abbreviations, and Acronyms Стандарта PCI DSS.

1.3. Нормативные ссылки
[1] Правила Платежной системы «Мир».
[2] Стандарт ПС «Мир». Порядок обработки Инцидентов ИБ Участником.
[3] Стандарт ПС «Мир». Требования по безопасности к Решению SoftPOS.
[4] Стандарт ПС «Мир». Обеспечение безопасности при использовании Карт в нефинансовых сервисах.

1.4. Уведомления
Перевод документов

Перевод любого документа, разработанного АО «НСПК», может быть выполнен третьим лицом исключительно после получения письменного разрешения АО «НСПК». АО «НСПК» не контролирует и не несет ответственности за содержание переведенного текста документа.
Переведенные тексты документов, разработанных АО «НСПК», применяются третьим лицом исключительно в целях установления содержания и смысла этих документов и не имеют юридической силы.
Тексты документов, составленных на русском языке, имеют приоритет перед текстами на другом языке.

Внесение изменений

Настоящий документ, а также изменения к нему публикуются на Портале.
АО «НСПК» вправе в одностороннем порядке вносить изменения в настоящий документ. Срок вступления в силу изменений к настоящему документу устанавливается АО «НСПК». Уведомление об изменениях настоящего документа размещается на Портале с указанием срока вступления в силу указанных изменений.

2. Защита данных платежных карт

2.1. Требования к обеспечению защиты информации

2.1.1 Следующими организациями должно быть обеспечено выполнение требований стандарта безопасности PCI DSS:

Участники;
третьи лица, с которыми Участник осуществляет взаимодействие (Платежные сервис провайдеры, ТСП и иные организации), которые хранят, передают или обрабатывают данные Карт ПС «Мир», а также ТСП и Сервис-провайдеры, которые не хранят, не передают и не обрабатывают данные Карт ПС «Мир», но имеют возможность влиять на безопасность данных Карт ПС «Мир» (далее в контексте настоящего документа – привлеченные Участником организации);
организации, которые привлекаются привлеченными Участником организациями и которые хранят, передают или обрабатывают данные Карт ПС «Мир», а также организации, которые не хранят, не передают и не обрабатывают данные Карт ПС «Мир», но имеют возможность влиять на безопасность данных Карт ПС «Мир».

2.1.2 Участники обязаны ежегодно подтверждать свое соответствие указанным требованиям, а также обеспечить подтверждение привлеченными Участником организациями, соответствия этим требованиям. Соответствие должно подтверждаться в порядке, предусмотренном настоящим документом.

2.1.3 Расчетные центры (кроме Банка России) должны обеспечивать защиту информации в соответствии с требованиями Положения Банка России № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 821-П), применимых к Операторам услуг платежной инфраструктуры.

2.1.4 По запросу АО «НСПК» Участники и Расчетные центры (кроме Банка России) должны предоставлять в АО «НСПК» следующие сведения:

о степени выполнения требований к обеспечению защиты информации при осуществлении Операций, операционных услуг, платежных клиринговых услуг, расчетных услуг;
о выявленных Инцидентах ИБ;
о реализации порядка обеспечения защиты информации при осуществлении Операций, операционных услуг, платежных клиринговых услуг, расчетных услуг;
о выявленных угрозах и уязвимостях в обеспечении защиты информации.

Форма отчетности устанавливается АО «НСПК».

2.2. Требования к Прямым участникам

2.2.1 Прямые участники, имеющие прямое подключение к ОПКЦ НСПК, должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

ежегодный сертификационный аудит;
ежеквартальное ASV-сканирование.

2.2.2 По результатам сертификационного аудита Прямой участник, имеющий прямое подключение к ОПКЦ НСПК, должен представлять в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные по шаблонам PCI SSC. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем Прямого Участника. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).

2.2.3 В случае проведения сертификационного аудита дистанционно или частично дистанционно в дополнение к Отчету о соответствии (ROC) Участник должен предоставить сведения о работах, проведенных аудитором удаленно. В АО «НСПК» вместе с Отчетом о соответствии (ROC) должна предоставляться заполненная и подписанная аудитором форма Addendum for ROC/ROV: Remote Assessment<1> .
<1>Указанная форма содержится в документе PCI SSC Remote Assessment Guidelines and Procedures. Документ доступен по ссылке: https://www.pcisecuritystandards.org/document_library/.

2.2.4 Прямые участники, которые подключены к ОПКЦ НСПК через TPP, должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

ежегодную самооценку;
ежеквартальное ASV - сканирование (если применимо).

2.2.5 Результатом самооценки является заполненный Лист самооценки (SAQ D-MIR). Шаблон Листа самооценки (SAQ D-MIR) размещен на сайте АО «НСПК» в разделе «Правила и тарифы платежной системы “Мир”» по адресу https://www.nspk.ru/cards-mir/terms-andtariffs/.

2.2.6 Оформленный Лист самооценки (SAQ D-MIR) на русском или английском языке передается в АО «НСПК» через Портал в проекте «Программа безопасности (Наименование Участника)». Лист самооценки (SAQ D-MIR) должен быть подписан уполномоченным представителем Прямого участника. Лист самооценки (SAQ D-MIR) должен быть предоставлен в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Листа самооценки (SAQ D-MIR).

2.2.7 Прямые участники, которые оказывают услуги авторизации, клиринга и расчетов другим Участникам, должны выполнять все требования PCI DSS, включая те, что отмечены как дополнительные требования, относящиеся к Сервис-провайдерам.

2.2.8 Прямые участники обязаны обеспечивать выполнение требований стандарта PCI DSS Сервис-провайдерами, услугами которых они пользуются. Сервис-провайдер может подтвердить свое соответствие требованиям стандарта PCI DSS, как в рамках сертификационного аудита Прямого участника, так и самостоятельного сертификационного аудита PCI DSS.

2.2.9 АО «НСПК» оставляет за собой право запрашивать дополнительные сведения и документы о проведенном Участником сертификационном аудите или самооценке. По запросу АО «НСПК» Участник должен представить запрошенную информацию или документы в порядке и сроки, указанные в запросе АО «НСПК».

2.2.10 АО «НСПК» оставляет за собой право проводить анализ защищенности Участника и привлеченной им организации. АО «НСПК» обязуется уведомить Участника о планируемых к проведению работах по анализу защищенности не позднее чем за 3 (трех) рабочих дня до их начала. Уведомление Участника выполняется через задачу на Портале в разделе «Программа безопасности».

2.2.11 Российские Прямые Участники для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации.

2.3. Требования к Косвенным участникам

2.3.1 Косвенные участники, имеющие прямое подключение к ОПКЦ НСПК, должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

ежегодный сертификационный аудит;
ежеквартальное ASV-сканирование.

2.3.2 Косвенные участники, у которых в предыдущем календарном году была подтверждена<2> компрометация Карт ПС «Мир», должны подтверждать соответствие PCI DSS следующим образом:

пройти сертификационный аудит в текущем календарном году;
выполнять ежеквартальное ASV-сканирование в течение текущего календарного года.

<2> Компрометация Карт ПС «Мир» у Косвенного участника считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в инфраструктуре Косвенного участника был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником».

2.3.3 По результатам сертификационного аудита Косвенный участник, имеющий прямое подключение к ОПКЦ НСПК, должен представить в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные по шаблонам PCI SSC. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и представителем Косвенного участника. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).

2.3.4 В случае проведения сертификационного аудита дистанционно или частично дистанционно в дополнение к Отчету о соответствии (ROC) Участник должен предоставить сведения о работах, проведенных аудитором удаленно. В АО «НСПК» должна предоставляться заполненная и подписанная аудитором форма Addendum for ROC/ROV: Remote Assessment<1> .
<1>Указанная форма содержится в документе PCI SSC Remote Assessment Guidelines and Procedures. Документ доступен по ссылке: https://www.pcisecuritystandards.org/document_library/.

2.3.5 Косвенные участники обязаны обеспечивать выполнение требований стандарта PCI DSS Сервис-провайдерами, услугами которых они пользуются. Сервис-провайдер может подтвердить свое соответствие требованиям стандарта PCI DSS как в рамках сертификационного аудита Косвенного участника, так и в рамках самостоятельного сертификационного аудита PCI DSS.

2.3.6 Косвенный участник отчитывается о соответствии требованиям стандарта PCI DSS своему Спонсору. Форму и сроки отчетности для Косвенного участника устанавливает Спонсор. АО «НСПК» оставляет за собой право в любой момент запросить у Прямого участника документы, подтверждающие соответствие Косвенного участника требованиям PCI DSS.

2.3.7 Российские Косвенные Участники для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации.

2.4. Требования к Платежным сервис-провайдерам

2.4.1 Для Платежных сервис-провайдеров состав обязательных к выполнению требований стандарта PCI DSS и перечень обязательных процедур для подтверждения соответствия стандарту PCI DSS определяется в зависимости от годового объема обрабатываемых Операций по Картам ПС «Мир».

2.4.2 Все Платежные сервис-провайдеры должны выполнять требования PCI DSS, включая те, что отмечены, как дополнительные требования, относящиеся к Сервис-провайдерам.

2.4.3 Платежные сервис-провайдеры делятся на два уровня L1 и L2.

2.4.4 К Платежным сервис-провайдерам уровня L1 относятся:

ТРР;
платежные сервис-провайдеры, которые ежегодно обрабатывают более 300 000 (трехсот тысяч) Операций по Картам ПС «Мир»;
платежные сервис-провайдеры, у которых в предыдущем календарном году была подтверждена компрометация<3> Карт ПС «Мир».

<3>Компрометация Карт ПС «Мир» у Платежного сервис-провайдера считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир», в инфраструктуре Платежного сервис-провайдера был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником»

2.4.5 Платежные сервис-провайдеры уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

ежегодный сертификационный аудит;
ежеквартальное ASV- сканирование.

2.4.6 Участники должны обеспечить представление в АО «НСПК» заполненных по шаблонам PCI SSC Отчета о соответствии (ROC) и Аттестата соответствия (AOC) по результатам сертификационного аудита ТРР. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат о соответствии (AOC) должен быть подписан аудитором и уполномоченным представителем ТРР. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).

2.4.7 В случае проведения сертификационного аудита дистанционно или частично дистанционно в дополнение к Отчету о соответствии (ROC) Участники должны предоставить сведения о работах, проведенных аудитором удаленно. В АО «НСПК» вместе с Отчетом о соответствии (ROC) должна предоставляться заполненная и подписанная аудитором форма Addendum for ROC/ROV: Remote Assessment<1> .
<1>Указанная форма содержится в документе PCI SSC Remote Assessment Guidelines and Procedures. Документ доступен по ссылке: https://www.pcisecuritystandards.org/document_library/.

2.4.8 Платежные сервис-провайдеры уровня L1, не являющиеся ТРР, должны представлять Аттестат о соответствии (AOC) Участникам или ТРР, с которыми они осуществляют взаимодействие.

2.4.9 Платежные сервис-провайдеры уровня L2 – это все Платежные сервис-провайдеры, которые не подпадают под критерии уровня L1.

2.4.10 Платежные сервис-провайдеры уровня L2 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

ежегодную самооценку;
ежеквартальное ASV- сканирование (если применимо).

2.4.11 Результатом самооценки является заполненный Лист самооценки (SAQ D-MIR). Шаблон Листа самооценки (SAQ D-MIR) размещен на сайте АО «НСПК» в разделе «Правила и тарифы платежной системы “Мир”» по адресу https://www.nspk.ru/cards-mir/terms-andtariffs/. Лист самооценки (SAQ D-MIR) должен быть подписан уполномоченным представителем Платежного сервис-провайдера.

2.4.12 Платежные сервис-провайдеры уровня L2 отчитываются о соответствии стандарту PCI DSS перед Участниками или TPP, с которыми взаимодействуют. АО «НСПК» вправе в любой момент запросить у Участника документы, подтверждающие соответствие Платежного сервис-провайдера уровня L2 требованиям PCI DSS. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК»

2.4.13 Платежный сервис-провайдер, в том числе ТРР, должен обеспечить выполнение требований PCI DSS Сервис-провайдером, привлеченным им для оказания услуг. Сервис-провайдер может подтвердить свое соответствие в рамках сертификационного аудита Платежного сервис-провайдера или проведя сертификационный аудит PCI DSS самостоятельно.

2.4.14 Платежные сервис-провайдеры, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации.

2.5. Требования к ТСП

2.5.1 Для ТСП состав обязательных к выполнению требований PCI DSS и перечень обязательных процедур для подтверждения соответствия PCI DSS определяется в зависимости от годового объема обрабатываемых Операций по Картам ПС «Мир».

2.5.2 ТСП делятся на четыре уровня: L1, L2, L3, L4.

2.5.3 Уровень ТСП может измениться в случае изменения годового объема осуществляемых в ТСП Операций с использованием Карт ПС «Мир». Актуализация уровня ТСП должна проводиться Эквайрером каждые полгода при предоставлении АО «НСПК» сведений о ТСП. Эквайрер отслеживает изменение уровня и должен обязать ТСП:

выполнять требования, актуальные для текущего уровня;
подтвердить соответствие новым требованиям в течение года с момента изменения уровня.

2.5.4 К ТСП уровня L1 относятся:

ТСП, у которых ежегодно проводится более 6 миллионов Операций по Картам ПС «Мир»;
любые ТСП, по которым в предыдущем календарном году была подтверждена компрометация<4> Карт «Мир».

<4> Компрометация Карт ПС «Мир» у ТСП считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в точке обслуживания в ТСП был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником».

2.5.5 ТСП уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

ежегодный сертификационный аудит;
ежеквартальное ASV-сканирование (если применимо). ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации.

2.5.6 По результатам сертификационного аудита ТСП уровня L1 представляет своему Эквайреру заполненный по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером.

2.5.7 К ТСП уровня L2 относятся организации, у которых ежегодно проводится от 1 до 6 миллионов Операций по Картам ПС «Мир».

2.5.8 ТСП уровня L2 должны подтверждать свое соответствие требованиям, выполняя:

ежегодный сертификационный аудит в объеме Этапа 1 и Этапа 2 Концепции приоритетного подхода<5> к достижению соответствия PCI DSS;
ежеквартальное ASV-сканирование (если применимо). ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать организации, имеющие местонахождение на территории Российской Федерации.

<5> Концепция приоритетного подхода (Prioritized Approach for PCI DSS) на русском языке доступна по ссылке https://www.nspk.ru/upload/docs/Prioritized_Approach_for_PCI_DSS.pdf. Англоязычная версия документа доступна на сайте https://www.pcisecuritystandards.org/document_library/.

2.5.9 По результатам сертификационного аудита ТСП уровня L2 представляет своему Эквайреру заполненный по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером.

2.5.10 К ТСП уровня L3 относятся организации, у которых ежегодно проводится от 20 000 до 1 миллиона Операций по картам ПС «Мир» посредством электронной коммерции.

2.5.11 ТСП уровня L3 должны выполнять требования PCI DSS, указанные в Листе самооценки (SAQ). Тип Листа самооценки (SAQ) выбирается Эквайрером, исходя из того, каким способом ТСП принимает платежи<6> .
<6> При выборе подходящего типа листа самооценки, следует руководствоваться документом PCI DSS Self-Assessment Questionnaire Instructions and Guidelines, который доступен на сайте https://www.pcisecuritystandards.org/document_library/, или руководством на сайте https://www.nspk.ru/cardsmir/security/standart-pcidss/self-assessment/.

2.5.12 В случае изменения в ТСП уровня L3 способа приема платежей Эквайрер должен обязать ТСП выполнить требования ставшего применимым Листа самооценки (SAQ). Срок предоставления ТСП подтверждения соответствия требованиям PCI DSS устанавливается Эквайрером.

2.5.13 ТСП уровня L3 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

ежегодную самооценку по выбранному Эквайрером типу Листа самооценки (SAQ);
ежеквартальное ASV-сканирование (если применимо). ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать организации, имеющие местонахождение на территории Российской Федерации.

2.5.14 По результатам самооценки ТСП уровня L3 представляет своему Эквайреру заполненный по шаблонам PCI SSC Лист самооценки (SAQ). Лист самооценки (SAQ) должен быть подписан уполномоченным представителем ТСП. В случае привлечения к заполнению Листа самооценки (SAQ) аккредитованного в ПС «Мир» аудитора или Внутреннего аудитора (ISA), Лист самооценки (SAQ) должен быть подписан аудитором и уполномоченным представителем ТСП. В Листе самооценки (SAQ) необходимо указать роль и функции, которые выполнял аудитор в рамках проведенной самооценки.

2.5.15 К ТСП уровня L4 относятся все остальные ТСП, которые не подпадают под уровень L1, L2 или L3.

2.5.16 ТСП уровня L4 должны выполнять требования PCI DSS, указанные в Листе самооценки (SAQ). Тип листа самооценки определяется Эквайрером, исходя из того, каким способом ТСП принимает платежи<5> .
<5> Концепция приоритетного подхода (Prioritized Approach for PCI DSS) на русском языке доступна по ссылке https://www.nspk.ru/upload/docs/Prioritized_Approach_for_PCI_DSS.pdf. Англоязычная версия документа доступна на сайте https://www.pcisecuritystandards.org/document_library/.

2.5.17 В случае изменения способа приема платежей Эквайрер должен обязать ТСП уровня L4 выполнить требования ставшего применимым Листа самооценки (SAQ). Срок представления ТСП подтверждения соответствия требованиям PCI DSS устанавливается Эквайрером.

2.5.18 ТСП уровня L4 отчитывается о соответствии стандарту PCI DSS перед своим Эквайрером. Сроки и форму отчетности устанавливает Эквайрер.

2.5.19 Допускается использовать русскоязычную версию SAQ, доступную на сайте PCI SSC<7> .
<7> Листы самооценки (SAQ) на русском и английском языке доступны на сайте https://www.pcisecuritystandards.org/document_library?category=saqs.

2.5.20 АО «НСПК» оставляет за собой право запрашивать Аттестат соответствия (AOC) или Лист самооценки (SAQ) ТСП у Участника, который взаимодействует с ТСП. По запросу АО «НСПК» участник должен представить запрошенные документы в порядке и сроки, указанные в запросе АО «НСПК».

2.5.21 ТСП уровня L1, L2, L4, которые используют только POS-терминалы для приема карт в целях оплаты товаров (работ, услуг) с предъявлением карты, вправе не подтверждать свое соответствие стандарту PCI DSS посредством сертификационного аудита или самооценки в случае обеспечения Участником, который взаимодействует с такими ТСП, соответствия данного ТСП критериям, указанным в документе «Стандарт ПС “Мир”.
Специальная программа подтверждения соответствия ТСП требованиям безопасности».

2.5.22 В случае привлечения ТСП через Платежного сервис-провайдера Эквайрер должен обязать ТСП соблюдать требования PCI DSS и проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта.

2.5.23 ТСП, которые в качестве единственного способа приема платежей формируют уникальные ссылки на оплату в личном кабинете на сайте Эквайрера или Платежного сервис-провайдера и передают эти ссылки клиентам вручную с использованием пользовательских технологий передачи сообщений (например, электронная почта, системы мгновенного обмена сообщениями, СМС-сообщения, чаты и т.д.), освобождаются от обязанности проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта.

2.6. Требования к Расчетным центрам
АО «НСПК» оставляет за собой право запросить у Расчетных центров (кроме Банка России) документы, подтверждающие выполнение требований Положения 821-П в любой момент. Расчетные центры (кроме Банка России) обязаны обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».

2.7. Правила проведения сертификационного аудита и ASV-сканирования

2.7.1 Сертификационный аудит PCI DSS могут проводить организации, имеющие статус QSA и находящиеся в Списке квалифицированных аудиторов по безопасности. Перечень QSA-организаций доступен по ссылке: https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors/. Список квалифицированных аудиторов по безопасности размещен во вкладке «Документы» в соответствующем проекте Портала.

2.7.2 АО «НСПК» проводит оценку Отчетов о соответствии (ROC). Проверка проводится с целью удостовериться в том, что документированные свидетельства выполнения тестовых процедур подтверждают выполнение проверяемых требований. Оценка проводится согласно положениям Программы оценки, приведенной в Приложении 4 настоящего Стандарта.

2.7.3 Результатом сертификационного аудита являются заполненные по шаблонам PCI SSC Отчет о соответствии (ROC) и Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем организации, в которой проходил аудит.

2.7.4 Участники обязаны обеспечить представление аудиторами, либо самостоятельно предоставлять в АО «НСПК» Отчеты о соответствии (ROC) на русском или английском языке и/или Аттестаты соответствия (AOC)<8> на русском или английском языке. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).
<8>Детальные требования к составу передаваемой в АО «НСПК» документации приведены в разделах выше.

2.7.5 Отчет о соответствии (ROC) и/или Аттестат соответствия (AOC) отправляются через Портал в проекте «Программа безопасности (Наименование Участника)».

2.7.6 Сертификационный аудит PCI DSS в ТСП могут проводить Внутренние аудиторы (ISA), прошедшие обучение и сертифицированные по программе Совета PCI SSC, согласно перечню https://www.pcisecuritystandards.org/assessors_and_solutions/internal_security_assessors/.

2.7.7 Ежеквартальное ASV-сканирование должно выполняться организацией, обладающей статусом PCI ASV из списка совета PCI SSC: https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors/. Отчеты о результатах ASV-сканирования должны по запросу предоставляться в АО «НСПК».

2.8. Контроль соответствия Платежных сервис-провайдеров

2.8.1 Участники (Прямые и Косвенные) должны контролировать соответствие требованиям PCI DSS привлеченных ими Платежных сервис-провайдеров. Один раз в год, в период с 1 по 31 марта, Участники должны представлять в АО «НСПК» сведения о таких Платежных сервис-провайдерах. Сведения о Платежных сервис-провайдерах передаются Участниками через Портал в проекте «Программа безопасности (Наименование Участника)». Шаблон отчета о Платежных сервис-провайдерах, включающий инструкцию по заполнению, находится во вкладке «Документы» в соответствующем проекте Портала.

2.8.2 Отчет должен быть представлен даже в том случае, если Участник не привлекал Платежных сервис-провайдеров в указанный отчетный период. В таком случае в отчете заполняется только вкладка «Данные Участника или ТРР».

2.8.3 Представляемый файл отчета о Платежных сервис-провайдерах должен именоваться согласно следующему формату: [название участника]_ПСП_[год предоставления отчета].xlsx

2.8.4 АО «НСПК» публикует на сайте https://www.nspk.ru/ список Платежных сервис-провайдеров, соответствующих требованиям стандарта PCI DSS. Опубликованный на сайте список является актуальным. В список включаются только Платежные сервис-провайдеры, которые подтвердили свое соответствие PCI DSS по результатам сертификационного аудита. В список не включаются Платежные сервис-провайдеры, которые подтвердили свое соответствие PCI DSS на основании представления Листа самооценки (SAQ), и Сервис-провайдеры, не являющиеся Платежными сервис-провайдерами.

2.8.5 В рамках ПС «Мир» Участникам рекомендуется пользоваться, а также обеспечить использование привлеченными ими ТРР и ТСП, услугами Платежных сервис-провайдеров, подтвердивших соответствие PCI DSS.

2.8.6 Для внеочередного включения Платежного сервис-провайдера в список Участник должен создать задачу с запросом в свободной форме на Портале в проекте «Программа безопасности (Наименование Участника)». После представления запрашиваемых АО «НСПК» сведений и их проверки на стороне АО «НСПК», АО «НСПК» обновляет список Платежных сервис-провайдеров, соответствующих требованиям стандарта PCI DSS.

2.9. Контроль соответствия ТСП

2.9.1 Участники, осуществляющие свою деятельность в ПС «Мир» по типам А и С, должны контролировать статус соответствия привлеченных ТСП требованиям PCI DSS и представлять АО «НСПК» сведения о ТСП уровней L1, L2 и L3 два раза в год по следующему графику:

с 1 по 31 марта – за отчетный период с 1 сентября по 28 февраля;
с 1 по 30 сентября – за отчетный период с 1 марта по 31 августа.

2.9.2 В отчете должны указываться сведения о ТСП, с которыми у Участника были установлены договорные отношения в указанные отчетные периоды.

2.9.3 Отчет должен быть представлен даже в том случае, если Участник, осуществляющий свою деятельность в ПС «Мир» по типу А или С, не привлекал ТСП в указанные отчетные периоды. В таком случае в отчете заполняется только вкладка «Данные Эквайрера».

2.9.4 Представляемый файл отчета о ТСП должен именоваться согласно следующему формату: [название участника]_ТСП_[1 или 2 – указатель отчетного периода за который предоставляется отчет]_[год предоставления отчета].xlsx.

2.9.5 Сведения о привлеченных ТСП Участники передают через Портал в проекте «Программа безопасности (Наименование участника)». Шаблон отчета о ТСП, включающий инструкцию по заполнению, находится во вкладке «Документы» в соответствующем проекте Портала.

3. Безопасность Платежного ПО

3.1 В случае использования Участником, Платежным сервис-провайдером или ТСП стороннего Платежного ПО, такое ПО должно быть сертифицировано по стандарту PCI Secure Software Standard<9> . Указанный документ размещен в сети Интернет по адресу https://www.pcisecuritystandards.org/document_library.
<9> Стандарт PCI PA-DSS перестал действовать с 26 октября 2022 года. Ранее сертифицированное по PCI PA-DSS программное обеспечение не может быть повторно сертифицировано по PCI PA-DSS. Все новое ПО и ПО с истекшим сроком действия сертификации по PCI PA-DSS должно быть сертифицировано по PCI Secure Software.

3.2 В случае предоставления Держателям карт платежного программного обеспечения, разработанного Участником или Платежным сервис-провайдером самостоятельно или на заказ, такое ПО и процессы его разработки должны соответствовать требованиям раздела 6 стандарта PCI DSS или требованиям PCI Secure Software Standard и PCI Secure SLC Standard. Оценка соответствия ПО требованиям раздела 6 PCI DSS должна выполняться в рамках сертификационного аудита Участника или Платежного сервис-провайдера. ПО, разработанное согласно требованиям PCI Secure Software Standard, должно быть сертифицировано в соответствии с порядком, определенным в Secure Software Program Guide.

3.3 Участники обязаны обеспечить соблюдение привлеченными ими Платежными сервис-провайдерами и ТСП указанных требований к безопасности платежного программного обеспечения.

4. Безопасность ПИН-кода

4.1 Участники, ТРР и привлеченные ими Сервис-провайдеры, которые вовлечены в процессы работы с ключевой информацией и обработки ПИН-кода, должны полностью выполнять требования стандарта PCI PIN Security, размещенному в сети Интернет по адресу https://www.pcisecuritystandards.org/document_library. Требования к отчетности не устанавливаются. АО «НСПК» вправе запросить у Участника документы, подтверждающие соответствие указанному стандарту Участника, TPP и привлеченных ими Сервис-провайдеров в любой момент. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».

4.2 Российские участники должны предпринять меры по обеспечению, в том числе привлеченными ими TPP и Платежными сервис-провайдерами, использования аппаратных модулей безопасности информационной инфраструктуры ПС «Мир», прошедших оценку соответствия требованиям по информационной безопасности Федеральной службы безопасности Российской Федерации по классу не ниже КВ.

4.3 Решения SoftPOS, поддерживающие ввод ПИН-кода, должны соответствовать требованиям документа «Стандарт ПС “Мир”. Требования по безопасности к Решению SoftPOS» [3].

5. Безопасность при выпуске Карт

5.2 АО «НСПК» оставляет за собой право запросить у Участников документы, подтверждающие выполнение требований стандартов Card Production and Provisioning Logical Security Requirements и Card Production and Provisioning Physical Security Requirements, в любой момент. Участники обязаны обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».

6. Безопасность Карт в нефинансовых сервисах

6.1 Для обеспечения безопасного использования Карт в нефинансовых сервисах, Участники должны обеспечить выполнение требований документа «Стандарт ПС “Мир”. Обеспечение безопасности при использовании Карт в нефинансовых сервисах» [4].

7. Управление Инцидентами ИБ

7.1 Согласно положениям документа «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником» [2] Участники должны осуществлять обработку Инцидентов ИБ, обладающих следующими признаками:

в результате которых появились подозрения в компрометации или которые привели к компрометации данных Карт в своей инфраструктуре, в инфраструктуре привлеченных Участником организаций или в организациях, которые привлекаются привлеченными Участником организациями и участвуют в обеспечении приема Карт и (или) осуществлении Операций;
которые привели или могли привести к нарушению непрерывности или несвоевременности оказания услуг по осуществлению Операций Участниками по причине нарушения требований к обеспечению защиты информации;
которые привели или могли привести к несанкционированным переводам денежных средств в инфраструктуре Участника.

7.2 Расчетные центры (кроме Банка России), Операционные центры и Платежные клиринговые центры должны самостоятельно организовывать идентификацию, сбор и обработку сведений по Инцидентам ИБ. Расчетные центры (кроме Банка России), Операционные центры и Платежные клиринговые центры должны уведомлять АО «НСПК» о произошедшем Инциденте ИБ по форме и срокам, установленными в документах, определяющих порядок взаимодействия Расчетных центров, Операционных центров, Платежных клиринговых центров и АО «НСПК»

7.3 По результатам анализа произошедших Инцидентов ИБ, АО «НСПК» через Портал информирует всех Участников, Расчетные центры (кроме Банка России), Операционные центры и Платежные клиринговые центры о методиках анализа и реагирования на Инциденты ИБ с учетом полученного опыта. Информационные материалы будут публиковаться в разделе «Документы» в соответствующем проекте Портала.

7.4 Информация о выявленных Инцидентах ИБ в ПС «Мир» представляется Участникам по запросу Участника, направленному на адрес mirsecurity@nspk.ru.

8. Безопасность Операционного и Платежного клирингового центра

8.1 Операционный центр и Платежный клиринговый центр, действующие в ПС «Мир», должны обеспечивать выполнение требований стандарта безопасности PCI DSS и должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

ежегодный сертификационный аудит;
ежеквартальное ASV-сканирование.

8.2 По результатам сертификационного аудита Операционный центр и Платежный клиринговый центр должны представлять в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные по шаблонам PCI SSC. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем Операционного центра или Платежного клирингового центра.

9. Безопасность компонентов сервиса MirAccept

Участники, ТРР и привлеченные ими Сервис-провайдеры, в инфраструктуре которых размещаются компоненты ACS и/или 3DS Server, должны полностью выполнять требования стандарта PCI 3DS Core, размещенного в сети Интернет по адресу https://www.pcisecuritystandards.org/document_library. Требования к отчетности не устанавливаются. АО «НСПК» вправе запросить у Участника документы, подтверждающие соответствие указанному стандарту Участника, TPP и привлеченных ими Сервис-провайдеров в любой момент. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».

10. Безопасность при использовании QR-кода

10.1 Обработка QR-кода и формирование на его основе авторизационного запроса допускается на устройствах, указанных в перечне ниже:

POS-терминал, Банкомат или Терминал самообслуживания. Считывание QR-кода при этом производится с помощью сканера, подключенного к Терминалу или встроенного в корпус Терминала;
кассовый модуль. Считывание QR-кода при этом производится с помощью сканера, подключенного к кассовому модулю или встроенного в корпус кассового модуля;
мобильное устройство, которое представляет собой SoftPOS-Терминал, входящий в состав Решения SoftPOS, соответствующего требованиям документа «Стандарт ПС “Мир”. Требования по безопасности к Решению SoftPOS», включая дополнительные требования к защите Мобильного приложения SoftPOS-Терминала при поддержке QR-кода, и указанного в документе «Реестр рекомендованных ПС "Мир" Решений SoftPOS».

10.2 Компоненты на стороне Участников, ТРР и привлеченных ими Сервис-провайдеров, участвующие в генерации QR-кода, должны входить в область оценки PCI DSS.

Приложение № 1. Сводная таблица уровней и форм отчетности

Приложение № 2. Схема формы отчетности по PCI DSS для Участников и Платежных сервис-провайдеров

Приложение № 3. Схема формы отчетности по PCI DSS для Торгово-сервисных предприятий

Приложение № 4. Программа оценки

Термины и определения
Аудиторы – QSA-компании и QSA-аудиторы.
QSA-компания – юридическое лицо, которое аккредитовано PCI SSC как QSA-компания и числится в списке на сайте: https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors
QSA-аудитор – сотрудник QSA-компании, который обладает статусом QSA и числится в списке на сайте: https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors
Портал – https://support.nspk.ru/

Основные положения
Настоящая Программа оценки основывается на положениях Assessor Quality Management Program, декларируемых в документах:

QSA Program Guide, v3.0 (1 - https://www.pcisecuritystandards.org/documents/QSA_Program_Guide_v3.0.pdf) ;
PCI DSS Qualification Requirements for Qualified Security Assessors v4.0 (2 - https://www.pcisecuritystandards.org/documents/QSA_Qualification_Requiremen ts_v4.0.pdf);
PCI SSC Code of Professional Responsibility, v1.0 (3 - https://www.pcisecuritystandards.org/documents/PCI_SSC_Code_of_Professional _Responsibility.pdf).

Оценка Отчетов о соответствии (ROC) проводится с целью удостовериться в том, что документированные свидетельства выполнения тестовых процедур подтверждают выполнение проверяемых требований.
Критерии оценки приведены в разделе «Критерии оценки» настоящей Программы оценки.

Список квалифицированных аудиторов по безопасности
АО «НСПК» публикует на Портале Список квалифицированных аудиторов по безопасности. Опубликованный на Портале список является актуальным.
Включение организации в Список квалифицированных аудиторов по безопасности означает, что:

Организация обладает статусом QSA-компании.
В результате проверки АО «НСПК» Отчетов о соответствии (ROC) отчетам присвоен статус «Удовлетворительно» или «Нужны улучшения».
Организация заключила с АО «НСПК» соглашение о сотрудничестве, включающее разрешение на публикацию на Портале информации о наименовании организации и о работниках организации, обладающих статусом QSA, присвоенным PCI SSC.

При исключении организации из Списка квалифицированных аудиторов по безопасности в связи с получением статуса «Неудовлетворительно» по результатам проверки АО «НСПК» Отчетов о соответствии (ROC) организация для возвращения в Список квалифицированных аудиторов по безопасности должна разработать и передать АО «НСПК» план действий по улучшению качества работ (далее – План). План в рабочем порядке согласуется с АО «НСПК» посредством взаимодействия в рамках соответствующей задачи, созданной на Портале. После выполнения организацией действий, указанных в Плане, организация отчитывается перед АО «НСПК» о его выполнении. Форма отчетности определяется АО «НСПК» после согласования Плана. Отчетность должна представляться в АО «НСПК» в рамках соответствующей задачи, созданной на Портале. При необходимости АО «НСПК» также проводит повторную проверку Отчетов о соответствии (ROC). В случае подтверждения выполнения Плана и получения в случае выполнения АО «НСПК» повторной проверки Отчетов о соответствии (ROC) статуса «Удовлетворительно» или «Нужны улучшения» организация возвращается в Список квалифицированных аудиторов по безопасности

Стандарт ПС "Мир". Программа безопасности v.1.6

Стандарт

Группы областей

Список требований