Стандарт ПС "Мир". Программа безопасности v.1.7

2.5.3 Уровень ТСП может измениться в случае изменения годового объема осуществляемых в ТСП Операций с использованием Карт ПС «Мир». Актуализация уровня ТСП должна проводиться Эквайрером каждые полгода при предоставлении АО «НСПК» сведений о ТСП. Эквайрер отслеживает изменение уровня и должен обязать ТСП: 

2.5.4 К ТСП уровня L1 относятся: 

2.5.6 По результатам сертификационного аудита ТСП уровня L1 представляет своему Эквайреру заполненный на русском или английском языке по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером. 

2.5.7 К ТСП уровня L2 относятся организации, у которых ежегодно проводится от 1 до 6 миллионов Операций по Картам ПС «Мир».

2.5.8 ТСП уровня L2 должны подтверждать свое соответствие требованиям, выполняя: 

2.5.9 По результатам сертификационного аудита ТСП уровня L2 представляет своему Эквайреру заполненный  на русском или английском языке по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером. 

2.5.10 К ТСП уровня L3 относятся организации, у которых ежегодно проводится до 1 миллиона Операций по картам ПС «Мир», при этом от 20 000 до 1 миллиона из этих Операций проводится посредством электронной коммерции.

2.5.13 ТСП уровня L3 должны подтверждать свое соответствие стандарту PCI DSS, выполняя: 

2.5.14 По результатам самооценки ТСП уровня L3 представляет своему Эквайреру заполненный на русском или английском языке по шаблонам PCI SSC Лист самооценки (SAQ). Лист самооценки (SAQ) должен быть подписан уполномоченным представителем ТСП. В случае привлечения к заполнению Листа самооценки (SAQ) аудитора, находящегося в Списке квалифицированных аудиторов по безопасности, Лист самооценки (SAQ) должен быть подписан аудитором и уполномоченным представителем ТСП. В Листе самооценки (SAQ) необходимо указать роль и функции, которые выполнял аудитор в рамках проведенной самооценки. 

2.5.15 К ТСП уровня L4 относятся все остальные ТСП, которые не подпадают под уровень L1, L2 или L3. 

2.5.16 ТСП уровня L4 должны выполнять требования PCI DSS, указанные в Листе самооценки (SAQ). Тип листа самооценки определяется Эквайрером, исходя из того, каким способом ТСП принимает платежи<5> .

2.5.17 В случае изменения способа приема платежей Эквайрер должен обязать ТСП уровня L4 выполнить требования ставшего применимым Листа самооценки (SAQ). Срок представления ТСП подтверждения соответствия требованиям PCI DSS устанавливается Эквайрером. 

2.5.20 АО «НСПК» оставляет за собой право запрашивать Аттестат соответствия (AOC) или Лист самооценки (SAQ) ТСП у Участника, который взаимодействует с ТСП. По запросу АО «НСПК» участник должен представить запрошенные документы в порядке и сроки, указанные в запросе АО «НСПК». 

2.5.21 ТСП, которые используют POS-терминалы для приема карт в целях оплаты товаров (работ, услуг) с предъявлением карты, вправе не подтверждать свое соответствие стандарту PCI DSS посредством сертификационного аудита или самооценки в случае обеспечения Участником, который взаимодействует с такими ТСП, соответствия данного ТСП критериям, указанным в документе «Стандарт ПС “Мир”.
Специальная программа подтверждения соответствия ТСП требованиям безопасности».  Если ТСП кроме осуществления операций с предъявлением карты в целях оплаты товаров (работ, услуг) через POS-терминалы ведут свою деятельность также в среде электронной коммерции, то в случае обеспечения Участником соответствия данных ТСП критериям, указанным в документе «Стандарт ПС “Мир”. Специальная программа подтверждения соответствия ТСП требованиям безопасности», ТСП вправе не подтверждать свое соответствие стандарту PCI DSS в отношении среды операций с предъявлением карты, но должны подтверждать свое соответствие требованиям PCI DSS в отношении среды электронной коммерции. Форма оценки соответствия ТСП требованиям PCI DSS в отношении среды электронной коммерции в этом случае определяется на основании годового объема Операций в среде электронной коммерции по аналогии с определением уровня ТСП. 

2.5.22 В случае привлечения ТСП через Платежного сервис-провайдера Эквайрер должен обязать ТСП соблюдать требования PCI DSS и проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта. 

2.5.23 ТСП, которые в качестве единственного способа приема платежей формируют уникальные ссылки на оплату в личном кабинете на сайте Эквайрера или Платежного сервис-провайдера и передают эти ссылки клиентам вручную с использованием пользовательских технологий передачи сообщений (например, электронная почта, системы мгновенного обмена сообщениями, СМС-сообщения, чаты и т.д.), освобождаются от обязанности проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта.