Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Программа безопасности v.1.7

Стандарт

2.4. Требования к Платежным сервис-провайдерам

Для проведения оценки соответствия по документу войдите в систему.

Список требований

2. Защита данных платежных карт
2.4. Требования к Платежным сервис-провайдерам
2.4.1 Для Платежных сервис-провайдеров состав обязательных к выполнению требований стандарта PCI DSS и перечень обязательных процедур для подтверждения соответствия стандарту PCI DSS определяется в зависимости от годового объема обрабатываемых Операций по Картам ПС «Мир».
2.4.2 Все Платежные сервис-провайдеры должны выполнять требования PCI DSS, включая те, что отмечены, как дополнительные требования, относящиеся к Сервис-провайдерам.
2.4.3 Платежные сервис-провайдеры делятся на два уровня L1 и L2.
2.4.4 К Платежным сервис-провайдерам уровня L1 относятся:
ТРР;
платежные сервис-провайдеры, которые ежегодно обрабатывают более 300 000 (трехсот тысяч) Операций по Картам ПС «Мир»;
платежные сервис-провайдеры, у которых в предыдущем календарном году была подтверждена компрометация<3> Карт ПС «Мир».
<3> Компрометация Карт ПС «Мир» у Платежного сервис-провайдера считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир», в инфраструктуре Платежного сервис-провайдера был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом [2].
2.4.5 Платежные сервис-провайдеры уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодный сертификационный аудит;
- ежеквартальное ASV- сканирование.
2.4.6 Участники должны обеспечить представление в АО «НСПК» заполненных на русском или английском языке по шаблонам PCI SSC Отчета о соответствии (ROC) и Аттестата соответствия (AOC) по результатам сертификационного аудита ТРР. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат о соответствии (AOC) должен быть подписан аудитором и уполномоченным представителем ТРР. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).
2.4.7 Платежные сервис-провайдеры уровня L1, не являющиеся ТРР, должны представлять Аттестат о соответствии (AOC) Участникам или ТРР, с которыми они осуществляют взаимодействие.
2.4.8 Платежные сервис-провайдеры уровня L2 – это все Платежные сервис-провайдеры, которые не подпадают под критерии уровня L1.
2.4.9 Платежные сервис-провайдеры уровня L2 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодную самооценку;
- ежеквартальное ASV- сканирование (если применимо).
2.4.10 Результатом самооценки является заполненный на русском или английском языке Лист самооценки (SAQ D-MIR). Шаблон Листа самооценки (SAQ D-MIR) размещен на сайте АО «НСПК» в разделе «Правила и тарифы платежной системы “Мир”» по адресу https://www.nspk.ru/cards-mir/terms-and-tariffs/. Лист самооценки (SAQ D-MIR) должен быть подписан уполномоченным представителем Платежного сервис-провайдера.
2.4.11 Платежные сервис-провайдеры уровня L2 отчитываются о соответствии стандарту PCI DSS перед Участниками или TPP, с которыми взаимодействуют. АО «НСПК» вправе в любой момент запросить у Участника документы, подтверждающие соответствие Платежного сервис-провайдера уровня L2 требованиям PCI DSS. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК»
2.4.12 Платежный сервис-провайдер, в том числе ТРР, должен обеспечить выполнение требований PCI DSS Сервис-провайдером, привлеченным им для оказания услуг. Сервис-провайдер может подтвердить свое соответствие PCI DSS в рамках сертификационного аудита Платежного сервис-провайдера или в рамках отдельного сертификационного аудита своей инфраструктуры.
2.4.13 Платежные сервис-провайдеры, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.