Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Программа безопасности v.1.7

Стандарт

Настоящий документ устанавливает требования к защите информации при обработке данных платежных карт ПС «Мир», а также при осуществлении расчетов (переводов) Участниками ПС «Мир».

Размещен в публичном доступе на сайте АО "НСПК".

Для проведения оценки соответствия по документу войдите в систему.

Для оценки соответствия
- авторизуйтесь

Планируемый уровень

Текущий уровень

Группы областей

36 %

Входящая логистика

52 %

Создание продукта

48 %

Исходящая логистика

50 %

Маркетинг, продажа

39 %

Обслуживание клиента

86 %

Инфраструктура

73 %

HR-менеджмент

62 %

Технологии

62 %

Закупки / Снабжение

87 %

Опыт клиента

Список требований

Показывать только требования

Упрощенный режим

1. Общие положения
1.1. Назначение и область применения документа
Настоящий документ устанавливает требования к защите информации при обработке данных платежных карт ПС «Мир», а также при осуществлении расчетов (переводов) Участниками ПС «Мир».
Документ предназначен для Участников, третьих лиц, с которыми Участник осуществляет взаимодействие (ТСП, ТРР и иных организаций), а также для Операторов услуг платежной инфраструктуры, осуществляющих функции Расчетных центров в рамках ПС «Мир» (кроме Банка России).
Участник несет ответственность за то, чтобы требования Стандарта к защите информации в части достаточной и необходимой для осуществления деятельности по обработке данных платежных карт ПС «Мир» были доведены до третьих лиц, с которыми Участник осуществляет взаимодействие, и соблюдались ими.
1.2. Термины, определения и сокращения
Акционерное общество «Национальная система платежных карт» (НСПК) – оператор ПС «Мир».
Анализ защищенности – процесс проверки выполнения требований к обеспечению защиты информации в платежной системе с использованием программных средств в автоматизированном или ручном режиме.
Данные карт ПС «Мир» (Данные платежных карт) – набор данных, включающий данные о Держателе карты и/или критичные аутентификационные данные.
Данные о Держателе карты – набор данных, включающий в себя как минимум номер карты (PAN), а также срок действия карты (Expiry Date) и сервисный код (Service Code), если они обрабатываются, передаются или хранятся вместе с номером карты (PAN).
ИБ – информационная безопасность.
Инцидент информационной безопасности (Инцидент ИБ), Инцидент защиты информации – инцидент, связанный с нарушениями требований к обеспечению защиты информации при осуществлении Операций, к которому относятся:
события, которые привели или могут привести к осуществлению Операций без согласия Клиента;
события, которые привели или могут привести к нарушению непрерывности или несвоевременности оказания платежных услуг, операционных услуг, услуг платежного клиринга и расчетных услуг по причине нарушения требований к обеспечению защиты информации;
события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет.
Квалифицированный аудитор по безопасности – организация, включенная в Список квалифицированных аудиторов по безопасности, размещенный на Портале.
Критичные аутентификационные данные – набор данных, включающий в себя следующие данные:
ППК2;
Track1, Track2, Track2 Equivalent Data (полное содержимое Track1, Track2, Track2 Equivalent Data, а также данные слева от сервисного кода);
ПИН-код;
ПИН-блок.
Несанкционированный перевод денежных средств – перевод денежных средств лицами, не обладающими правом распоряжения денежными средствами.
Нефинансовый сервис – сервис, в котором используются Карты в целях, не связанных с осуществлением переводов денежных средств с использованием Карты (реквизитов Карты).
ОПКЦ НСПК – Операционный и платежный клиринговый центр АО «НСПК».
Платежный сервис-провайдер – Сервис-провайдер, который оказывает Участникам и третьим лицам, с которыми Участник осуществляет взаимодействие, услуги обмена информацией при осуществлении Операций с использованием Карт (реквизитов Карт) между Участниками, Держателями карт, ТСП, иными Платежными сервис-провайдерами, услуги авторизации, безопасной аутентификации, клиринга. Платежными сервис-провайдерами, в том числе являются агрегаторы (платежные агрегаторы), третьесторонние процессинговые центры, 3DS сервис-провайдеры.
Платежное программное обеспечение (Платежное ПО) – программное обеспечение, которое хранит, обрабатывает или передает Данные карт ПС «Мир» в целях проведения авторизации, клиринга или расчетов.
ПО – программное обеспечение.
Портал – портал поддержки https://support.nspk.ru/.
Сервис-провайдер – организация, предоставляющая Участникам, Платежным Сервис-провайдерам и/или ТСП услуги по хранению, обработке или передаче Данных карт ПС «Мир» и/или имеющая возможность влиять на безопасность таких данных. Примерами таких компаний могут являться компании, предоставляющие услуги co-location, IaaS (Infrastructure-as-a-Service), SaaS (Software-as-a-Service), разработки ПО, сервисного обслуживания банкоматов и POS-терминалов, а также услуги по авторизации, клирингу. Организации, предоставляющие услуги связи (телекоммуникационные услуги), не являются Сервис-провайдерами.
AOC (Attestation of Compliance) – Аттестат соответствия.
ASV (Approved Scanning Vendor) – Авторизованный поставщик услуг сканирования уязвимостей.
PCI DSS (Payment Card Industry Data Security Standard) – Стандарт безопасности данных индустрии платежных карт.
PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт.
QR-код – Графическое изображение, формат и содержимое которого соответствует требованиям к Consumer-Presented QR, указанным в документе [5].
QSA (Qualified Security Assessor) – юридическое лицо, которое аккредитовано PCI SSC как QSA-компания и числится в перечне, размещенном на сайте PCI SSC в разделе PCI Qualified Professionals – Qualified Security Assessors.
ROC (Report on Compliance) – Отчет о соответствии.
SAQ (Self Assessment Questionnaire) – Лист самооценки.
Лист самооценки SAQ A-MIR – документ, предназначенный для использования ТСП, которые имеют право подтверждать свое соответствие PCI DSS при помощи самооценки, и содержащий набор требований PCI DSS, применимых к ТСП, осуществляющим деятельность в среде электронной коммерции и полностью передавшим функции по обработке Данных карт ПС «Мир» третьим сторонам, которые соответствуют требованиям PCI DSS (Эквайрер или привлеченный Сервис-провайдер).
Лист самооценки SAQ D-MIR – документ, предназначенный для использования организациями, которые имеют право подтверждать свое соответствие PCI DSS при помощи самооценки, и содержащий набор требований PCI DSS, применимый к деятельности Участников ПС «Мир» и привлеченных ими организаций, осуществляющих хранение, обработку и/или передачу Данных карт ПС «Мир» и/или имеющих возможность влиять на безопасность таких данных.
Иные термины, используемые в настоящем документе, применяются в значениях, установленных в Правилах Платежной системы «Мир», Стандарте ПС «Мир». Требования по безопасности к Решению SoftPOS и разделе Appendix G PCI DSS Glossary of Terms, Abbreviations, and Acronyms Стандарта PCI DSS.
1.3. Нормативные ссылки
[1] Правила Платежной системы «Мир».
[2] Стандарт ПС «Мир». Порядок обработки Инцидентов ИБ Участником.
[3] Стандарт ПС «Мир». Требования по безопасности к Решению SoftPOS.
[4] Стандарт ПС «Мир». Обеспечение безопасности при использовании Карт в нефинансовых сервисах.
[5] Стандарт ПС «Мир». Требования к проведению Consumer-Presented QR-операций для Эквайреров.
[6] Требования к средствам криптографической защиты информации в платежных устройствах с терминальным ядром, серверных компонентах платежных систем (HSM модулях), платежных картах и иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, указанных в пункте 2.20 положения Банка России от 9 июня 2012 г. № 382-П.
[7] Требования к техническим средствам и программному обеспечению, реализующим криптографические механизмы информационной инфраструктуры значимой платежной системы, используемых при осуществлении переводов денежных средств по карточным счетам.
1.4. Уведомления
Перевод документов
Перевод любого документа, разработанного АО «НСПК», может быть выполнен третьим лицом исключительно после получения письменного разрешения АО «НСПК». АО «НСПК» не контролирует и не несет ответственности за содержание переведенного текста документа.
Переведенные тексты документов, разработанных АО «НСПК», применяются третьим лицом исключительно в целях установления содержания и смысла этих документов и не имеют юридической силы.
Тексты документов, составленных на русском языке, имеют приоритет перед текстами на другом языке.
Внесение изменений
Настоящий документ, а также изменения к нему публикуются на Портале.
АО «НСПК» вправе в одностороннем порядке вносить изменения в настоящий документ. Срок вступления в силу изменений к настоящему документу устанавливается АО «НСПК». Уведомление об изменениях настоящего документа размещается на Портале с указанием срока вступления в силу указанных изменений.
2. Защита данных платежных карт
2.1. Требования к обеспечению защиты информации
2.1.1 Следующими организациями должно быть обеспечено выполнение требований стандарта безопасности PCI DSS<1>:
- Участники;
- третьи лица, с которыми Участник осуществляет взаимодействие (Платежные сервис провайдеры, ТСП и иные организации), которые хранят, передают или обрабатывают данные Карт ПС «Мир», а также ТСП и Сервис-провайдеры, которые не хранят, не передают и не обрабатывают данные Карт ПС «Мир», но имеют возможность влиять на безопасность данных Карт ПС «Мир» (далее в контексте настоящего документа – привлеченные Участником организации);
- организации, которые привлекаются привлеченными Участником организациями и которые хранят, передают или обрабатывают данные Карт ПС «Мир», а также организации, которые не хранят, не передают и не обрабатывают данные Карт ПС «Мир», но имеют возможность влиять на безопасность данных Карт ПС «Мир».
<1> В случае, если указанные организации используют технические средства и ПО, реализующие криптографические механизмы информационной инфраструктуры платежной системы и имеющие подтверждение соответствия требованиям, установленных в документе [6] или [7], данные технические средства и ПО подлежат исключению из области действия применяемым к ним непосредственно требований стандарта PCI DSS.
2.1.2 Участники обязаны ежегодно подтверждать свое соответствие указанным требованиям, а также обеспечить подтверждение привлеченными Участником организациями, соответствия этим требованиям. Соответствие должно подтверждаться в порядке, предусмотренном настоящим документом.
2.1.3 Расчетные центры (кроме Банка России) должны обеспечивать защиту информации в соответствии с требованиями Положения Банка России № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 821-П), применимых к Операторам услуг платежной инфраструктуры.
2.1.4 По запросу АО «НСПК» Участники и Расчетные центры (кроме Банка России) должны предоставлять в АО «НСПК» следующие сведения:
о степени выполнения требований к обеспечению защиты информации при осуществлении Операций, операционных услуг, платежных клиринговых услуг, расчетных услуг;
о выявленных Инцидентах ИБ;
о реализации порядка обеспечения защиты информации при осуществлении Операций, операционных услуг, платежных клиринговых услуг, расчетных услуг;
о выявленных угрозах и уязвимостях в обеспечении защиты информации.
Форма отчетности устанавливается АО «НСПК».
2.2. Требования к Прямым участникам
2.2.1 Прямые участники, имеющие прямое подключение к ОПКЦ НСПК, должны подтверждать свое соответствие стандарту PCI DSS<1>, выполняя:
- ежегодный сертификационный аудит;
- ежеквартальное ASV-сканирование.
2.2.2 По результатам сертификационного аудита Прямой участник, имеющий прямое подключение к ОПКЦ НСПК, должен представлять в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные на русском или английском языке по шаблонам PCI SSC. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем Прямого Участника. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).
2.2.3 Прямые участники, которые подключены к ОПКЦ НСПК через TPP, должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодную самооценку;
- ежеквартальное ASV - сканирование (если применимо).
2.2.4 Результатом самооценки является заполненный на русском или английском языке Лист самооценки (SAQ D-MIR). Шаблон Листа самооценки (SAQ D-MIR) размещен на сайте АО «НСПК» в разделе «Правила и тарифы платежной системы “Мир”» по адресу https://www.nspk.ru/cards-mir/terms-and-tariffs/.
2.2.5 Оформленный Лист самооценки (SAQ D-MIR) передается в АО «НСПК» через Портал в проекте «Программа безопасности (Наименование Участника)». Лист самооценки (SAQ D-MIR) должен быть подписан уполномоченным представителем Прямого участника. Лист самооценки (SAQ D-MIR) должен быть предоставлен в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Листа самооценки (SAQ D-MIR).
2.2.6 Прямые участники, которые оказывают услуги авторизации, клиринга и расчетов другим Участникам, должны выполнять все требования PCI DSS, включая те, что отмечены как дополнительные требования, относящиеся к Сервис-провайдерам.
2.2.7 Прямые участники обязаны обеспечивать выполнение требований стандарта PCI DSS<1> Сервис-провайдерами, услугами которых они пользуются. Сервис-провайдер может подтвердить свое соответствие требованиям стандарта PCI DSS, как в рамках сертификационного аудита Прямого участника, так и в рамках собственного сертификационного аудита PCI DSS.
2.2.8 АО «НСПК» оставляет за собой право запрашивать дополнительные сведения и документы о проведенном Участником сертификационном аудите или самооценке. По запросу АО «НСПК» Участник должен представить запрошенную информацию или документы в порядке и сроки, указанные в запросе АО «НСПК».
2.2.9 АО «НСПК» оставляет за собой право проводить анализ защищенности Участника и привлеченной им организации. АО «НСПК» обязуется уведомить Участника о планируемых к проведению работах по анализу защищенности не позднее чем за 3 (трех) рабочих дня до их начала. Уведомление Участника выполняется через задачу на Портале в разделе «Программа безопасности».
2.2.10 Российские Прямые Участники для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.3. Требования к Косвенным участникам
2.3.1 Косвенные участники, имеющие прямое подключение к ОПКЦ НСПК, должны подтверждать свое соответствие стандарту PCI DSS<1>, выполняя:
- ежегодный сертификационный аудит;
- ежеквартальное ASV-сканирование.
2.3.2 Косвенные участники, у которых в предыдущем календарном году была подтверждена<2> компрометация Карт ПС «Мир», должны подтверждать соответствие PCI DSS следующим образом:
пройти сертификационный аудит в текущем календарном году;
выполнять ежеквартальное ASV-сканирование в течение текущего календарного года.
<2> Компрометация Карт ПС «Мир» у Косвенного участника считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в инфраструктуре Косвенного участника был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником».
2.3.3 По результатам сертификационного аудита Косвенный участник, имеющий прямое подключение к ОПКЦ НСПК, должен представить в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные на русском или английском языке по шаблонам PCI SSC. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и представителем Косвенного участника. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).
2.3.4 Косвенные участники обязаны обеспечивать выполнение требований стандарта PCI DSS<1> Сервис-провайдерами, услугами которых они пользуются. Сервис-провайдер может подтвердить свое соответствие требованиям стандарта PCI DSS как в рамках сертификационного аудита Косвенного участника, так и в рамках самостоятельного сертификационного аудита PCI DSS.
2.3.5 Косвенные участники, которые подключены к ОПКЦ НСПК через TPP, отчитываются о соответствии требованиям стандарта PCI DSS своим Спонсорам. Форму и сроки отчетности для Косвенного участника устанавливает Спонсор. АО «НСПК» оставляет за собой право в любой момент запросить у Прямого участника документы, подтверждающие соответствие Косвенного участника требованиям PCI DSS.
2.3.6 Российские Косвенные Участники для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.4. Требования к Платежным сервис-провайдерам
2.4.1 Для Платежных сервис-провайдеров состав обязательных к выполнению требований стандарта PCI DSS и перечень обязательных процедур для подтверждения соответствия стандарту PCI DSS определяется в зависимости от годового объема обрабатываемых Операций по Картам ПС «Мир».
2.4.2 Все Платежные сервис-провайдеры должны выполнять требования PCI DSS, включая те, что отмечены, как дополнительные требования, относящиеся к Сервис-провайдерам.
2.4.3 Платежные сервис-провайдеры делятся на два уровня L1 и L2.
2.4.4 К Платежным сервис-провайдерам уровня L1 относятся:
ТРР;
платежные сервис-провайдеры, которые ежегодно обрабатывают более 300 000 (трехсот тысяч) Операций по Картам ПС «Мир»;
платежные сервис-провайдеры, у которых в предыдущем календарном году была подтверждена компрометация<3> Карт ПС «Мир».
<3> Компрометация Карт ПС «Мир» у Платежного сервис-провайдера считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир», в инфраструктуре Платежного сервис-провайдера был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом [2].
2.4.5 Платежные сервис-провайдеры уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодный сертификационный аудит;
- ежеквартальное ASV- сканирование.
2.4.6 Участники должны обеспечить представление в АО «НСПК» заполненных на русском или английском языке по шаблонам PCI SSC Отчета о соответствии (ROC) и Аттестата соответствия (AOC) по результатам сертификационного аудита ТРР. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат о соответствии (AOC) должен быть подписан аудитором и уполномоченным представителем ТРР. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).
2.4.7 Платежные сервис-провайдеры уровня L1, не являющиеся ТРР, должны представлять Аттестат о соответствии (AOC) Участникам или ТРР, с которыми они осуществляют взаимодействие.
2.4.8 Платежные сервис-провайдеры уровня L2 – это все Платежные сервис-провайдеры, которые не подпадают под критерии уровня L1.
2.4.9 Платежные сервис-провайдеры уровня L2 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодную самооценку;
- ежеквартальное ASV- сканирование (если применимо).
2.4.10 Результатом самооценки является заполненный на русском или английском языке Лист самооценки (SAQ D-MIR). Шаблон Листа самооценки (SAQ D-MIR) размещен на сайте АО «НСПК» в разделе «Правила и тарифы платежной системы “Мир”» по адресу https://www.nspk.ru/cards-mir/terms-and-tariffs/. Лист самооценки (SAQ D-MIR) должен быть подписан уполномоченным представителем Платежного сервис-провайдера.
2.4.11 Платежные сервис-провайдеры уровня L2 отчитываются о соответствии стандарту PCI DSS перед Участниками или TPP, с которыми взаимодействуют. АО «НСПК» вправе в любой момент запросить у Участника документы, подтверждающие соответствие Платежного сервис-провайдера уровня L2 требованиям PCI DSS. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК»
2.4.12 Платежный сервис-провайдер, в том числе ТРР, должен обеспечить выполнение требований PCI DSS Сервис-провайдером, привлеченным им для оказания услуг. Сервис-провайдер может подтвердить свое соответствие PCI DSS в рамках сертификационного аудита Платежного сервис-провайдера или в рамках отдельного сертификационного аудита своей инфраструктуры.
2.4.13 Платежные сервис-провайдеры, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.5. Требования к ТСП
2.5.1 Для ТСП состав обязательных к выполнению требований PCI DSS и перечень обязательных процедур для подтверждения соответствия PCI DSS определяется в зависимости от годового объема обрабатываемых Операций по Картам ПС «Мир».
2.5.2 ТСП делятся на четыре уровня: L1, L2, L3, L4.
2.5.3 Уровень ТСП может измениться в случае изменения годового объема осуществляемых в ТСП Операций с использованием Карт ПС «Мир». Актуализация уровня ТСП должна проводиться Эквайрером каждые полгода при предоставлении АО «НСПК» сведений о ТСП. Эквайрер отслеживает изменение уровня и должен обязать ТСП:
выполнять требования, актуальные для текущего уровня;
подтвердить соответствие новым требованиям в течение года с момента изменения уровня.
2.5.4 К ТСП уровня L1 относятся:
ТСП, у которых ежегодно проводится более 6 миллионов Операций по Картам ПС «Мир»;
любые ТСП, по которым в предыдущем календарном году была подтверждена компрометация<4> Карт «Мир».
<4> Компрометация Карт ПС «Мир» у ТСП считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в точке обслуживания в ТСП был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником».
2.5.5 ТСП уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодный сертификационный аудит;
- ежеквартальное ASV-сканирование (если применимо). ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.5.6 По результатам сертификационного аудита ТСП уровня L1 представляет своему Эквайреру заполненный на русском или английском языке по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером.
2.5.7 К ТСП уровня L2 относятся организации, у которых ежегодно проводится от 1 до 6 миллионов Операций по Картам ПС «Мир».
2.5.8 ТСП уровня L2 должны подтверждать свое соответствие требованиям, выполняя:
ежегодный сертификационный аудит в объеме Этапа 1 и Этапа 2 Концепции приоритетного подхода к достижению соответствия PCI DSS;
ежеквартальное ASV-сканирование (если применимо). ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать организации, имеющие местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.5.9 По результатам сертификационного аудита ТСП уровня L2 представляет своему Эквайреру заполненный на русском или английском языке по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером.
2.5.10 К ТСП уровня L3 относятся организации, у которых ежегодно проводится до 1 миллиона Операций по картам ПС «Мир», при этом от 20 000 до 1 миллиона из этих Операций проводится посредством электронной коммерции.
2.5.11 ТСП уровня L3 должны выполнять требования PCI DSS, указанные в Листе самооценки (SAQ). Тип Листа самооценки (SAQ) выбирается Эквайрером, исходя из того, каким способом ТСП принимает платежи<5> .

<5> При выборе подходящего типа листа самооценки, следует руководствоваться документом PCI DSS Self-Assessment Questionnaire Instructions and Guidelines, который доступен на сайте PCI SSC в разделе Resources – Document Library (https://www.pcisecuritystandards.org/document_library), или руководством на сайте АО «НСПК» (https://www.nspk.ru/cards-mir/security/standart pcidss/self-assessment/).
2.5.12 В случае изменения в ТСП уровня L3 способа приема платежей Эквайрер должен обязать ТСП выполнить требования ставшего применимым Листа самооценки (SAQ). Срок предоставления ТСП подтверждения соответствия требованиям PCI DSS устанавливается Эквайрером.
2.5.13 ТСП уровня L3 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
ежегодную самооценку по выбранному Эквайрером типу Листа самооценки (SAQ);
ежеквартальное ASV-сканирование (если применимо). ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать организации, имеющие местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.5.14 По результатам самооценки ТСП уровня L3 представляет своему Эквайреру заполненный на русском или английском языке по шаблонам PCI SSC Лист самооценки (SAQ). Лист самооценки (SAQ) должен быть подписан уполномоченным представителем ТСП. В случае привлечения к заполнению Листа самооценки (SAQ) аудитора, находящегося в Списке квалифицированных аудиторов по безопасности, Лист самооценки (SAQ) должен быть подписан аудитором и уполномоченным представителем ТСП. В Листе самооценки (SAQ) необходимо указать роль и функции, которые выполнял аудитор в рамках проведенной самооценки.
2.5.15 К ТСП уровня L4 относятся все остальные ТСП, которые не подпадают под уровень L1, L2 или L3.
2.5.16 ТСП уровня L4 должны выполнять требования PCI DSS, указанные в Листе самооценки (SAQ). Тип листа самооценки определяется Эквайрером, исходя из того, каким способом ТСП принимает платежи<5> .
2.5.17 В случае изменения способа приема платежей Эквайрер должен обязать ТСП уровня L4 выполнить требования ставшего применимым Листа самооценки (SAQ). Срок представления ТСП подтверждения соответствия требованиям PCI DSS устанавливается Эквайрером.
2.5.18 ТСП уровня L4 отчитывается о соответствии стандарту PCI DSS перед своим Эквайрером. Сроки и форму отчетности устанавливает Эквайрер.
2.5.19 Допускается использовать русскоязычную версию Листа самооценки (SAQ), доступную на Портале<6> .

<6> Листы самооценки (SAQ A-MIR и SAQ D-MIR) на русском языке размещены во вкладке «Документы» в соответствующем проекте Портала. Листы самооценки на английском языке доступны на сайте PCI SSC в разделе Resources – Document Library (https://www.pcisecuritystandards.org/document_library).
2.5.20 АО «НСПК» оставляет за собой право запрашивать Аттестат соответствия (AOC) или Лист самооценки (SAQ) ТСП у Участника, который взаимодействует с ТСП. По запросу АО «НСПК» участник должен представить запрошенные документы в порядке и сроки, указанные в запросе АО «НСПК».
2.5.21 ТСП, которые используют POS-терминалы для приема карт в целях оплаты товаров (работ, услуг) с предъявлением карты, вправе не подтверждать свое соответствие стандарту PCI DSS посредством сертификационного аудита или самооценки в случае обеспечения Участником, который взаимодействует с такими ТСП, соответствия данного ТСП критериям, указанным в документе «Стандарт ПС “Мир”.
Специальная программа подтверждения соответствия ТСП требованиям безопасности». Если ТСП кроме осуществления операций с предъявлением карты в целях оплаты товаров (работ, услуг) через POS-терминалы ведут свою деятельность также в среде электронной коммерции, то в случае обеспечения Участником соответствия данных ТСП критериям, указанным в документе «Стандарт ПС “Мир”. Специальная программа подтверждения соответствия ТСП требованиям безопасности», ТСП вправе не подтверждать свое соответствие стандарту PCI DSS в отношении среды операций с предъявлением карты, но должны подтверждать свое соответствие требованиям PCI DSS в отношении среды электронной коммерции. Форма оценки соответствия ТСП требованиям PCI DSS в отношении среды электронной коммерции в этом случае определяется на основании годового объема Операций в среде электронной коммерции по аналогии с определением уровня ТСП.
2.5.22 В случае привлечения ТСП через Платежного сервис-провайдера Эквайрер должен обязать ТСП соблюдать требования PCI DSS и проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта.
2.5.23 ТСП, которые в качестве единственного способа приема платежей формируют уникальные ссылки на оплату в личном кабинете на сайте Эквайрера или Платежного сервис-провайдера и передают эти ссылки клиентам вручную с использованием пользовательских технологий передачи сообщений (например, электронная почта, системы мгновенного обмена сообщениями, СМС-сообщения, чаты и т.д.), освобождаются от обязанности проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта.
2.6. Требования к Расчетным центрам
АО «НСПК» оставляет за собой право запросить у Расчетных центров (кроме Банка России) документы, подтверждающие выполнение требований Положения 821-П в любой момент. Расчетные центры (кроме Банка России) обязаны обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».
2.7. Правила проведения сертификационного аудита и ASV-сканирования
2.7.1 Сертификационный аудит PCI DSS могут проводить организации, имеющие статус QSA и находящиеся в Списке квалифицированных аудиторов по безопасности. Перечень QSA-организаций доступен на сайте PCI SSC в разделе PCI Qualified Professionals – Qualified Security Assessors (https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors/). Список квалифицированных аудиторов по безопасности размещен во вкладке «Документы» в соответствующем проекте Портала.
2.7.2 АО «НСПК» проводит оценку Отчетов о соответствии (ROC). Проверка проводится с целью удостовериться в том, что документированные свидетельства выполнения тестовых процедур подтверждают выполнение проверяемых требований. Оценка проводится согласно положениям Программы оценки, приведенной в Приложении 4 настоящего Стандарта.
2.7.3 Результатом сертификационного аудита являются заполненные на русском или английском языке по шаблонам PCI SSC Отчет о соответствии (ROC) и Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем организации, в которой проходил аудит.
2.7.4 Участники обязаны обеспечить представление аудиторами, либо самостоятельно предоставлять в АО «НСПК» Отчеты о соответствии (ROC) на русском или английском языке и/или Аттестаты соответствия (AOC)<7> на русском или английском языке. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).

<7> Детальные требования к составу передаваемой в АО «НСПК» документации приведены в разделах выше.
2.7.5 Отчет о соответствии (ROC) и/или Аттестат соответствия (AOC) отправляются через Портал в проекте «Программа безопасности (Наименование Участника)».
2.7.6 Ежеквартальное ASV-сканирование должно выполняться организацией, обладающей статусом PCI ASV из списка, размещенного на сайте PCI SSC в разделе PCI Qualified Professionals – Approved Scanning Vendors (https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors/). Отчеты о результатах ASV-сканирования должны по запросу предоставляться в АО «НСПК»
2.8. Контроль соответствия Платежных сервис-провайдеров
2.8.1 Участники (Прямые и Косвенные) должны контролировать соответствие требованиям PCI DSS привлеченных ими Платежных сервис-провайдеров. Один раз в год, в период с 1 по 31 марта, Участники должны представлять в АО «НСПК» сведения о таких Платежных сервис-провайдерах. Сведения о Платежных сервис-провайдерах передаются Участниками через Портал в проекте «Программа безопасности (Наименование Участника)». Шаблон отчета о Платежных сервис-провайдерах, включающий инструкцию по заполнению, находится во вкладке «Документы» в соответствующем проекте Портала.
2.8.2 Отчет должен быть представлен даже в том случае, если Участник не привлекал Платежных сервис-провайдеров в указанный отчетный период. В таком случае в отчете заполняется только вкладка «Данные Участника или ТРР».
2.8.3 Представляемый файл отчета о Платежных сервис-провайдерах должен формироваться на основе актуальной версии шаблона, размещенной во вкладке «Документы» в соответствующем проекте Портала.
2.8.4 Представляемый файл отчета о Платежных сервис-провайдерах должен именоваться согласно следующему формату: [название участника]_ПСП_[год предоставления отчета].xlsx.
2.8.5 АО «НСПК» публикует на сайте https://www.nspk.ru/ список Платежных сервис-провайдеров, соответствующих требованиям стандарта PCI DSS. Опубликованный на сайте https://www.nspk.ru/ список является актуальным. В список включаются только Платежные сервис-провайдеры, которые подтвердили свое соответствие PCI DSS по результатам сертификационного аудита. В список не включаются Платежные сервис-провайдеры, которые подтвердили свое соответствие PCI DSS на основании представления Листа самооценки (SAQ), и Сервис-провайдеры, не являющиеся Платежными сервис-провайдерами.
2.8.6 В рамках ПС «Мир» Участникам рекомендуется пользоваться, а также обеспечить использование привлеченными ими ТРР и ТСП, услугами Платежных сервис-провайдеров, подтвердивших соответствие PCI DSS.
2.8.7 Для внеочередного включения Платежного сервис-провайдера в список Участник должен создать задачу с запросом в свободной форме на Портале в проекте «Программа безопасности (Наименование Участника)». После представления запрашиваемых АО «НСПК» сведений и их проверки на стороне АО «НСПК», АО «НСПК» обновляет список Платежных сервис-провайдеров, соответствующих требованиям стандарта PCI DSS.
2.9. Контроль соответствия ТСП
2.9.1 Участники, осуществляющие свою деятельность в ПС «Мир» по типам А и С, должны контролировать статус соответствия привлеченных ТСП требованиям PCI DSS и представлять АО «НСПК» сведения о ТСП два раза в год по следующему графику:
с 1 по 31 марта – за отчетный период с 1 сентября по 28 февраля;
с 1 по 30 сентября – за отчетный период с 1 марта по 31 августа.
2.9.2 В отчете должны указываться сведения о ТСП, с которыми у Участника были установлены договорные отношения в указанные отчетные периоды.
2.9.3 Отчет должен быть представлен даже в том случае, если Участник, осуществляющий свою деятельность в ПС «Мир» по типу А или С, не привлекал ТСП в указанные отчетные периоды. В таком случае в отчете заполняется только вкладка «Данные Эквайрера».
2.9.4 Представляемый файл отчета о ТСП должен формироваться на основе актуальной версии шаблона, размещенной во вкладке «Документы» в соответствующем проекте Портала.
2.9.5 Представляемый файл отчета о ТСП должен именоваться согласно следующему формату: [название участника]_ТСП_[1 или 2 – указатель отчетного периода за который предоставляется отчет]_[год предоставления отчета].xlsx.
2.9.6 Сведения о привлеченных ТСП Участники передают через Портал в проекте «Программа безопасности (Наименование участника)». Шаблон отчета о ТСП, включающий инструкцию по заполнению, находится во вкладке «Документы» в соответствующем проекте Портала.
3. Безопасность Платежного ПО
3.1 В случае использования Участником, Платежным сервис-провайдером или ТСП стороннего Платежного ПО, такое ПО должно быть сертифицировано по стандарту PCI Secure Software Standard, размещенного на сайте PCI SSC в разделе Resources – Document Library (https://www.pcisecuritystandards.org/document_library)<8>,<9>.

<8> В случае, если Платежное ПО использует функционал технических средств и/или ПО, имеющих подтверждение соответствия требованиям документов [6] или [7], данные средства и реализуемые ими криптографические механизмы подлежат исключению из области сертификации Платежного ПО по стандарту PCI SSS.
<9> Стандарт PCI PA-DSS перестал действовать с 26 октября 2022 года. Ранее сертифицированное по PCI PA-DSS программное обеспечение не может быть повторно сертифицировано по PCI PA-DSS. Все новое ПО и ПО с истекшим сроком действия сертификации по PCI PA-DSS должно быть сертифицировано по PCI Secure Software.
3.2 В случае предоставления Держателям карт платежного программного обеспечения, разработанного Участником или Платежным сервис-провайдером самостоятельно или на заказ, такое ПО и процессы его разработки должны соответствовать требованиям раздела 6 стандарта PCI DSS или требованиям PCI Secure Software Standard и PCI Secure SLC Standard. Оценка соответствия ПО требованиям раздела 6 PCI DSS должна выполняться в рамках сертификационного аудита Участника или Платежного сервис-провайдера. ПО, разработанное согласно требованиям PCI Secure Software Standard, должно быть сертифицировано в соответствии с порядком, определенным в Secure Software Program Guide.
3.3 Участники обязаны обеспечить соблюдение привлеченными ими Платежными сервис-провайдерами и ТСП указанных требований к безопасности платежного программного обеспечения.
4. Безопасность ПИН-кода
4.1 Участники, ТРР и привлеченные ими Сервис-провайдеры, которые вовлечены в процессы работы с ключевой информацией и обработки ПИН-кода, должны полностью выполнять требования стандарта PCI PIN Security<10>,<11>, размещенного на сайте PCI SSC в разделе Resources – Document Library (https://www.pcisecuritystandards.org/document_library). Требования к отчетности не устанавливаются. АО «НСПК» вправе запросить у Участника документы, подтверждающие соответствие указанному стандарту Участника, TPP и привлеченных ими Сервис-провайдеров в любой момент. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».

<10> За исключением требований по использованию HSM, сертифицированных по требованиям стандарта PCI PIN Transaction Security (PTS) Hardware Security Module (HSM) или стандартов FIPS 140-2/FIPS 140-3.
<11> В случае, если указанные организации используют в составе аппаратных модулей безопасности, платежных устройств с терминальным ядром и/или пин-пад клавиатур технические средства и ПО, реализующие криптографические механизмы информационной инфраструктуры платежной системы и имеющие подтверждение соответствия требованиям, установленным в документах [6] или [7], данные технические средства и ПО подлежат исключению из области действия применяемым к ним непосредственно требований стандарта PCI PIN Security.
4.2 Российские участники должны предпринять меры по обеспечению, в том числе привлеченными ими TPP и Платежными сервис-провайдерами, использования аппаратных модулей безопасности информационной инфраструктуры ПС «Мир», имеющих подтверждение соответствия требованиям, установленным в документах [6] или [7].
4.3 Решения SoftPOS, поддерживающие ввод ПИН-кода, должны соответствовать требованиям документа «Стандарт ПС “Мир”. Требования по безопасности к Решению SoftPOS» [3]<12>.

<12> К Решениям SoftPOS не применимы требования по использованию устройств ввода ПИН-кода, сертифицированных по требованиям стандарта PCI PIN Transaction Security (PTS) Point Of Interaction (POI).
5. Безопасность при выпуске Карт
5.1 При выпуске карт Центры персонализации Участников<13> должны выполнять все требования стандартов Card Production and Provisioning Logical Security Requirements<14>,<15> и Card Production and Provisioning Physical Security Requirements. АО «НСПК» не предъявляет требования по подтверждению соответствия данным стандартам на периодической основе.

<13> В контексте Программы безопасности под «Центром персонализации Участника» имеется в виду функциональное подразделение Участника, которое выполняет персонализацию платежных карт этого Участника. Если функциональное подразделение Участника осуществляет персонализацию карт для иных Участников ПС «Мир», для которых Участник не является Спонсором, то такой центр персонализации будет являться Внешним Центром Персонализации. Внешние центры персонализации должны выполнять требования документа «Стандарт ПС “Мир”. Руководство по одобрению (сертификации) организаций, осуществляющих электрическую и графическую персонализацию карт».
<14> За исключением требований по использованию HSM, сертифицированных по требованиям стандарта PCI PIN Transaction Security (PTS) Hardware Security Module (HSM) или стандартов FIPS 140-2/FIPS 140-3.
<15> В случае, если указанные организации используют в составе аппаратных модулей безопасности технические средства и ПО, реализующие криптографические механизмы информационной инфраструктуры платежной системы и имеющие подтверждение соответствия требованиям, установленным в документах [6] или [7], данные технические средства и ПО подлежат исключению из области действия применяемым непосредственно к ним требований стандартов Card Production and Provisioning.
5.2 АО «НСПК» оставляет за собой право запросить у Участников документы, подтверждающие выполнение требований стандартов Card Production and Provisioning Logical Security Requirements и Card Production and Provisioning Physical Security Requirements, в любой момент. Участники обязаны обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».
5.3 Российские участники должны предпринять меры по обеспечению использования в Центрах персонализации Участников аппаратных модулей безопасности информационной инфраструктуры ПС «Мир», имеющих подтверждение соответствия требованиям, установленным в документах [6] или [7].
6. Безопасность Карт в нефинансовых сервисах
6.1 Для обеспечения безопасного использования Карт в нефинансовых сервисах, Участники должны обеспечить выполнение требований документа [4].
7. Управление Инцидентами ИБ
7.1 Согласно положениям документа [2] Участники должны осуществлять обработку Инцидентов ИБ, обладающих следующими признаками:
- в результате которых появились подозрения в компрометации или которые привели к компрометации данных Карт в своей инфраструктуре, в инфраструктуре привлеченных Участником организаций или в организациях, которые привлекаются привлеченными Участником организациями и участвуют в обеспечении приема Карт и (или) осуществлении Операций;
- которые привели или могли привести к нарушению непрерывности или несвоевременности оказания услуг по осуществлению Операций Участниками по причине нарушения требований к обеспечению защиты информации;
- которые привели или могли привести к несанкционированным переводам денежных средств в инфраструктуре Участника.
7.2 Расчетные центры (кроме Банка России), Операционные центры и Платежные клиринговые центры должны самостоятельно организовывать идентификацию, сбор и обработку сведений по Инцидентам ИБ. Расчетные центры (кроме Банка России), Операционные центры и Платежные клиринговые центры должны уведомлять АО «НСПК» о произошедшем Инциденте ИБ по форме и срокам, установленными в документах, определяющих порядок взаимодействия Расчетных центров, Операционных центров, Платежных клиринговых центров и АО «НСПК»
7.3 По результатам анализа произошедших Инцидентов ИБ, АО «НСПК» через Портал информирует всех Участников, Расчетные центры (кроме Банка России), Операционные центры и Платежные клиринговые центры о методиках анализа и реагирования на Инциденты ИБ с учетом полученного опыта. Информационные материалы будут публиковаться в разделе «Документы» в соответствующем проекте Портала.
7.4 Информация о выявленных Инцидентах ИБ в ПС «Мир» представляется Участникам по запросу Участника, направленному на адрес mirsecurity@nspk.ru.
8. Безопасность Операционного и Платежного клирингового центра
8.1 Операционный центр и Платежный клиринговый центр, действующие в ПС «Мир», должны обеспечивать выполнение требований стандарта безопасности PCI DSS и должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
ежегодный сертификационный аудит;
ежеквартальное ASV-сканирование.
8.2 По результатам сертификационного аудита Операционный центр и Платежный клиринговый центр должны представлять в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные на русском или английском языке по шаблонам PCI SSC. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем Операционного центра или Платежного клирингового центра.
9. Безопасность компонентов сервиса MirAccept
9.1 Участники, ТРР и привлеченные ими Сервис-провайдеры, в инфраструктуре которых размещаются компоненты ACS и/или 3DS Server, должны полностью выполнять требования стандарта PCI 3DS Core, размещенного на сайте PCI SSC в разделе Resources – Document Library (https://www.pcisecuritystandards.org/document_library)<16>,<17>. Требования к отчетности не устанавливаются. АО «НСПК» вправе запросить у Участника документы, подтверждающие соответствие указанному стандарту Участника, TPP и привлеченных ими Сервис-провайдеров в любой момент. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».

<16> За исключением требований по использованию HSM, сертифицированных по требованиям стандарта PCI PIN Transaction Security (PTS) Hardware Security Module (HSM) или стандартов FIPS 140-2/FIPS 140-3.
<17> В случае, если указанные организации используют в составе аппаратных модулей безопасности технические средства и ПО, реализующие криптографические механизмы информационной инфраструктуры платежной системы и имеющие подтверждение соответствия требованиям, установленным в документах [6] или [7], данные технические средства и ПО подлежат исключению из области действия применяемым к ним непосредственно требований стандарта PCI 3DS Core.
10. Безопасность при использовании QR-кода
10.1 Обработка QR-кода и формирование на его основе авторизационного запроса допускается на устройствах, указанных в перечне ниже:
- мобильное устройство, которое представляет собой SoftPOS-Терминал, входящий в состав Решения SoftPOS, соответствующего требованиям документа [3], включая дополнительные требования к защите Мобильного приложения SoftPOS-Терминала при поддержке QR-кода, и указанного в документе «Реестр рекомендованных ПС "Мир" Решений SoftPOS».
10.2 Компоненты на стороне Участников, ТРР и привлеченных ими Сервис-провайдеров, участвующие в генерации QR-кода, должны входить в область оценки PCI DSS.
Приложение № 1. Сводная таблица уровней и форм отчетности
Приложение № 2. Схема формы отчетности по PCI DSS для Участников и Платежных сервис-провайдеров
Приложение № 3. Схема формы отчетности по PCI DSS для Торгово-сервисных предприятий
Приложение № 4. Программа оценки
Термины и определения
Аудиторы – QSA-компании и QSA-аудиторы.
QSA-компания – юридическое лицо, которое аккредитовано PCI SSC как QSA-компания и числится в перечне, размещенном на сайте PCI SSC в разделе PCI Qualified Professionals – Qualified Security Assessors (https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors).
QSA-аудитор – сотрудник QSA-компании, который обладает статусом QSA и числится в перечне, размещенном на сайте PCI SSC в разделе PCI Qualified Professionals – Qualified Security Assessors (https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors).
Портал – https://support.nspk.ru/
Основные положения
Настоящая Программа оценки основывается на положениях Assessor Quality Management Program, декларируемых в документах, размещенных на сайте PCI SSC в разделе Resources – Document Library:
Оценка Отчетов о соответствии (ROC) проводится с целью удостовериться в том, что документированные свидетельства выполнения тестовых процедур подтверждают выполнение проверяемых требований.
Критерии оценки приведены в разделе «Критерии оценки» настоящей Программы оценки.
Порядок проведения оценки
АО «НСПК» оставляет за собой право проводить проверку Отчетов о соответствии (ROC), представленных по результатам сертификационных аудитов Участников и ТРР, согласно положениям настоящей Программы.
Проверка проводится с целью удостовериться в том, что документированные свидетельства выполнения тестовых процедур подтверждают выполнение проверяемых требований.
При необходимости получения от QSA-компании дополнительных разъяснений или свидетельств, подтверждающих корректность описания проверочных процедур, через Портал формируется запрос в адрес QSA-компании.
QSA-компания через Портал представляет запрошенные материалы (например, свидетельства аудита, ответы на вопросы проверяющего).
Результатом проведенной оценки будет являться присвоение Отчету о соответствии (ROC) одного из статусов:
Удовлетворительно – аудитору будет отправлено уведомление с предложениями по улучшению проводимых аудиторских работ.
Статус «удовлетворительно» показывает, что представленные материалы подтверждают: (1) QSA-компания и аудиторы QSA-компании постоянно соблюдают текущие квалификационные требования к QSA; (2) политика качества QSA-компании внедрена и поддерживается согласно квалификационным требованиям к QSA; (3) QSA-компания и аудиторы QSA-компании соблюдают установленные шаблоном Отчета о соответствии (ROC) требования к отчетности, о чем свидетельствует проверенный Отчет о соответствии (ROC).
Нужны улучшения – аудитору будет отправлено уведомление с предложениями по улучшению проводимых аудиторских работ с дальнейшим согласованием плана действий по улучшению качества работ.
Статус «Нужны улучшения» показывает, что были найдены недочеты и/или сделаны выводы о необходимости улучшений в части соблюдения аудиторами квалификационных требований. Представленные материалы подтверждают: (1) QSA-компания и аудиторы QSA-компании постоянно соблюдают текущие квалификационные требования к QSA; (2) политика качества QSA-компании внедрена и поддерживается согласно квалификационным требованиям к QSA; (3) QSA-компания и аудиторы QSA-компании соблюдают установленные шаблоном Отчета о соответствии (ROC) требования к отчетности, о чем свидетельствует проверенный Отчет о соответствии (ROC).
Неудовлетворительно – аудитору будет отправлено уведомление об исключении из Списка квалифицированных аудиторов по безопасности, размещенного на Портале.
Статус «Неудовлетворительно» показывает, что в ходе проверки были обнаружены серьезные недочеты, которые могут быть классифицированы как Нарушения, согласно QSA Agreement. Присвоение статуса «Неудовлетворительно» означает, что предоставленные материалы не смогли подтвердить выполнение одного из пунктов: (1) QSA-компания и аудиторы QSA-компании постоянно соблюдают текущие квалификационные требования к QSA; (2) политика качества QSA-компании внедрена и поддерживается согласно квалификационным требованиям к QSA; (3) QSA-компания и аудиторы QSA-компании соблюдают установленные шаблоном Отчета о соответствии (ROC) требования к отчетности, о чем свидетельствует проверенный Отчет о соответствии (ROC).
После завершения проверки, через Портал выполняется уведомление QSA-компании о присвоенном статусе.
Список квалифицированных аудиторов по безопасности
АО «НСПК» публикует на Портале Список квалифицированных аудиторов по безопасности. Опубликованный на Портале список является актуальным.
Включение организации в Список квалифицированных аудиторов по безопасности означает, что:
Организация обладает статусом QSA-компании.
В результате проверки АО «НСПК» Отчетов о соответствии (ROC) отчетам присвоен статус «Удовлетворительно» или «Нужны улучшения».
Организация заключила с АО «НСПК» соглашение о сотрудничестве, включающее разрешение на публикацию на Портале информации о наименовании организации и о работниках организации, обладающих статусом QSA, присвоенным PCI SSC.
При исключении организации из Списка квалифицированных аудиторов по безопасности в связи с получением статуса «Неудовлетворительно» по результатам проверки АО «НСПК» Отчетов о соответствии (ROC) организация для возвращения в Список квалифицированных аудиторов по безопасности должна разработать и передать АО «НСПК» план действий по улучшению качества работ (далее – План). План в рабочем порядке согласуется с АО «НСПК» посредством взаимодействия в рамках соответствующей задачи, созданной на Портале. После выполнения организацией действий, указанных в Плане, организация отчитывается перед АО «НСПК» о его выполнении. Форма отчетности определяется АО «НСПК» после согласования Плана. Отчетность должна представляться в АО «НСПК» в рамках соответствующей задачи, созданной на Портале. При необходимости АО «НСПК» также проводит повторную проверку Отчетов о соответствии (ROC). В случае подтверждения выполнения Плана и получения в случае выполнения АО «НСПК» повторной проверки Отчетов о соответствии (ROC) статуса «Удовлетворительно» или «Нужны улучшения» организация возвращается в Список квалифицированных аудиторов по безопасности.
Критерии оценки
Оценка Отчетов о соответствии (ROC) основана на следующих основных критериях:
сбор свидетельств, рабочих документов;
составление отчетов.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.