Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Программа безопасности v.1.7

Стандарт

2. Защита данных платежных карт

Для проведения оценки соответствия по документу войдите в систему.

Список требований

2. Защита данных платежных карт
2.1. Требования к обеспечению защиты информации
2.1.1 Следующими организациями должно быть обеспечено выполнение требований стандарта безопасности PCI DSS<1>:
- Участники;
- третьи лица, с которыми Участник осуществляет взаимодействие (Платежные сервис провайдеры, ТСП и иные организации), которые хранят, передают или обрабатывают данные Карт ПС «Мир», а также ТСП и Сервис-провайдеры, которые не хранят, не передают и не обрабатывают данные Карт ПС «Мир», но имеют возможность влиять на безопасность данных Карт ПС «Мир» (далее в контексте настоящего документа – привлеченные Участником организации);
- организации, которые привлекаются привлеченными Участником организациями и которые хранят, передают или обрабатывают данные Карт ПС «Мир», а также организации, которые не хранят, не передают и не обрабатывают данные Карт ПС «Мир», но имеют возможность влиять на безопасность данных Карт ПС «Мир».
<1> В случае, если указанные организации используют технические средства и ПО, реализующие криптографические механизмы информационной инфраструктуры платежной системы и имеющие подтверждение соответствия требованиям, установленных в документе [6] или [7], данные технические средства и ПО подлежат исключению из области действия применяемым к ним непосредственно требований стандарта PCI DSS.
2.1.2 Участники обязаны ежегодно подтверждать свое соответствие указанным требованиям, а также обеспечить подтверждение привлеченными Участником организациями, соответствия этим требованиям. Соответствие должно подтверждаться в порядке, предусмотренном настоящим документом.
2.1.3 Расчетные центры (кроме Банка России) должны обеспечивать защиту информации в соответствии с требованиями Положения Банка России № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 821-П), применимых к Операторам услуг платежной инфраструктуры.
2.1.4 По запросу АО «НСПК» Участники и Расчетные центры (кроме Банка России) должны предоставлять в АО «НСПК» следующие сведения:
о степени выполнения требований к обеспечению защиты информации при осуществлении Операций, операционных услуг, платежных клиринговых услуг, расчетных услуг;
о выявленных Инцидентах ИБ;
о реализации порядка обеспечения защиты информации при осуществлении Операций, операционных услуг, платежных клиринговых услуг, расчетных услуг;
о выявленных угрозах и уязвимостях в обеспечении защиты информации.
Форма отчетности устанавливается АО «НСПК».
2.2. Требования к Прямым участникам
2.2.1 Прямые участники, имеющие прямое подключение к ОПКЦ НСПК, должны подтверждать свое соответствие стандарту PCI DSS<1>, выполняя:
- ежегодный сертификационный аудит;
- ежеквартальное ASV-сканирование.
2.2.2 По результатам сертификационного аудита Прямой участник, имеющий прямое подключение к ОПКЦ НСПК, должен представлять в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные на русском или английском языке по шаблонам PCI SSC. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем Прямого Участника. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).
2.2.3 Прямые участники, которые подключены к ОПКЦ НСПК через TPP, должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодную самооценку;
- ежеквартальное ASV - сканирование (если применимо).
2.2.4 Результатом самооценки является заполненный на русском или английском языке Лист самооценки (SAQ D-MIR). Шаблон Листа самооценки (SAQ D-MIR) размещен на сайте АО «НСПК» в разделе «Правила и тарифы платежной системы “Мир”» по адресу https://www.nspk.ru/cards-mir/terms-and-tariffs/.
2.2.5 Оформленный Лист самооценки (SAQ D-MIR) передается в АО «НСПК» через Портал в проекте «Программа безопасности (Наименование Участника)». Лист самооценки (SAQ D-MIR) должен быть подписан уполномоченным представителем Прямого участника. Лист самооценки (SAQ D-MIR) должен быть предоставлен в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Листа самооценки (SAQ D-MIR).
2.2.6 Прямые участники, которые оказывают услуги авторизации, клиринга и расчетов другим Участникам, должны выполнять все требования PCI DSS, включая те, что отмечены как дополнительные требования, относящиеся к Сервис-провайдерам.
2.2.7 Прямые участники обязаны обеспечивать выполнение требований стандарта PCI DSS<1> Сервис-провайдерами, услугами которых они пользуются. Сервис-провайдер может подтвердить свое соответствие требованиям стандарта PCI DSS, как в рамках сертификационного аудита Прямого участника, так и в рамках собственного сертификационного аудита PCI DSS.
2.2.8 АО «НСПК» оставляет за собой право запрашивать дополнительные сведения и документы о проведенном Участником сертификационном аудите или самооценке. По запросу АО «НСПК» Участник должен представить запрошенную информацию или документы в порядке и сроки, указанные в запросе АО «НСПК».
2.2.9 АО «НСПК» оставляет за собой право проводить анализ защищенности Участника и привлеченной им организации. АО «НСПК» обязуется уведомить Участника о планируемых к проведению работах по анализу защищенности не позднее чем за 3 (трех) рабочих дня до их начала. Уведомление Участника выполняется через задачу на Портале в разделе «Программа безопасности».
2.2.10 Российские Прямые Участники для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.3. Требования к Косвенным участникам
2.3.1 Косвенные участники, имеющие прямое подключение к ОПКЦ НСПК, должны подтверждать свое соответствие стандарту PCI DSS<1>, выполняя:
- ежегодный сертификационный аудит;
- ежеквартальное ASV-сканирование.
2.3.2 Косвенные участники, у которых в предыдущем календарном году была подтверждена<2> компрометация Карт ПС «Мир», должны подтверждать соответствие PCI DSS следующим образом:
пройти сертификационный аудит в текущем календарном году;
выполнять ежеквартальное ASV-сканирование в течение текущего календарного года.
<2> Компрометация Карт ПС «Мир» у Косвенного участника считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в инфраструктуре Косвенного участника был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником».
2.3.3 По результатам сертификационного аудита Косвенный участник, имеющий прямое подключение к ОПКЦ НСПК, должен представить в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные на русском или английском языке по шаблонам PCI SSC. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и представителем Косвенного участника. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).
2.3.4 Косвенные участники обязаны обеспечивать выполнение требований стандарта PCI DSS<1> Сервис-провайдерами, услугами которых они пользуются. Сервис-провайдер может подтвердить свое соответствие требованиям стандарта PCI DSS как в рамках сертификационного аудита Косвенного участника, так и в рамках самостоятельного сертификационного аудита PCI DSS.
2.3.5 Косвенные участники, которые подключены к ОПКЦ НСПК через TPP, отчитываются о соответствии требованиям стандарта PCI DSS своим Спонсорам. Форму и сроки отчетности для Косвенного участника устанавливает Спонсор. АО «НСПК» оставляет за собой право в любой момент запросить у Прямого участника документы, подтверждающие соответствие Косвенного участника требованиям PCI DSS.
2.3.6 Российские Косвенные Участники для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.4. Требования к Платежным сервис-провайдерам
2.4.1 Для Платежных сервис-провайдеров состав обязательных к выполнению требований стандарта PCI DSS и перечень обязательных процедур для подтверждения соответствия стандарту PCI DSS определяется в зависимости от годового объема обрабатываемых Операций по Картам ПС «Мир».
2.4.2 Все Платежные сервис-провайдеры должны выполнять требования PCI DSS, включая те, что отмечены, как дополнительные требования, относящиеся к Сервис-провайдерам.
2.4.3 Платежные сервис-провайдеры делятся на два уровня L1 и L2.
2.4.4 К Платежным сервис-провайдерам уровня L1 относятся:
ТРР;
платежные сервис-провайдеры, которые ежегодно обрабатывают более 300 000 (трехсот тысяч) Операций по Картам ПС «Мир»;
платежные сервис-провайдеры, у которых в предыдущем календарном году была подтверждена компрометация<3> Карт ПС «Мир».
<3> Компрометация Карт ПС «Мир» у Платежного сервис-провайдера считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир», в инфраструктуре Платежного сервис-провайдера был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом [2].
2.4.5 Платежные сервис-провайдеры уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодный сертификационный аудит;
- ежеквартальное ASV- сканирование.
2.4.6 Участники должны обеспечить представление в АО «НСПК» заполненных на русском или английском языке по шаблонам PCI SSC Отчета о соответствии (ROC) и Аттестата соответствия (AOC) по результатам сертификационного аудита ТРР. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат о соответствии (AOC) должен быть подписан аудитором и уполномоченным представителем ТРР. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).
2.4.7 Платежные сервис-провайдеры уровня L1, не являющиеся ТРР, должны представлять Аттестат о соответствии (AOC) Участникам или ТРР, с которыми они осуществляют взаимодействие.
2.4.8 Платежные сервис-провайдеры уровня L2 – это все Платежные сервис-провайдеры, которые не подпадают под критерии уровня L1.
2.4.9 Платежные сервис-провайдеры уровня L2 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодную самооценку;
- ежеквартальное ASV- сканирование (если применимо).
2.4.10 Результатом самооценки является заполненный на русском или английском языке Лист самооценки (SAQ D-MIR). Шаблон Листа самооценки (SAQ D-MIR) размещен на сайте АО «НСПК» в разделе «Правила и тарифы платежной системы “Мир”» по адресу https://www.nspk.ru/cards-mir/terms-and-tariffs/. Лист самооценки (SAQ D-MIR) должен быть подписан уполномоченным представителем Платежного сервис-провайдера.
2.4.11 Платежные сервис-провайдеры уровня L2 отчитываются о соответствии стандарту PCI DSS перед Участниками или TPP, с которыми взаимодействуют. АО «НСПК» вправе в любой момент запросить у Участника документы, подтверждающие соответствие Платежного сервис-провайдера уровня L2 требованиям PCI DSS. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК»
2.4.12 Платежный сервис-провайдер, в том числе ТРР, должен обеспечить выполнение требований PCI DSS Сервис-провайдером, привлеченным им для оказания услуг. Сервис-провайдер может подтвердить свое соответствие PCI DSS в рамках сертификационного аудита Платежного сервис-провайдера или в рамках отдельного сертификационного аудита своей инфраструктуры.
2.4.13 Платежные сервис-провайдеры, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.5. Требования к ТСП
2.5.1 Для ТСП состав обязательных к выполнению требований PCI DSS и перечень обязательных процедур для подтверждения соответствия PCI DSS определяется в зависимости от годового объема обрабатываемых Операций по Картам ПС «Мир».
2.5.2 ТСП делятся на четыре уровня: L1, L2, L3, L4.
2.5.3 Уровень ТСП может измениться в случае изменения годового объема осуществляемых в ТСП Операций с использованием Карт ПС «Мир». Актуализация уровня ТСП должна проводиться Эквайрером каждые полгода при предоставлении АО «НСПК» сведений о ТСП. Эквайрер отслеживает изменение уровня и должен обязать ТСП:
выполнять требования, актуальные для текущего уровня;
подтвердить соответствие новым требованиям в течение года с момента изменения уровня.
2.5.4 К ТСП уровня L1 относятся:
ТСП, у которых ежегодно проводится более 6 миллионов Операций по Картам ПС «Мир»;
любые ТСП, по которым в предыдущем календарном году была подтверждена компрометация<4> Карт «Мир».
<4> Компрометация Карт ПС «Мир» у ТСП считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в точке обслуживания в ТСП был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником».
2.5.5 ТСП уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодный сертификационный аудит;
- ежеквартальное ASV-сканирование (если применимо). ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.5.6 По результатам сертификационного аудита ТСП уровня L1 представляет своему Эквайреру заполненный на русском или английском языке по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером.
2.5.7 К ТСП уровня L2 относятся организации, у которых ежегодно проводится от 1 до 6 миллионов Операций по Картам ПС «Мир».
2.5.8 ТСП уровня L2 должны подтверждать свое соответствие требованиям, выполняя:
ежегодный сертификационный аудит в объеме Этапа 1 и Этапа 2 Концепции приоритетного подхода к достижению соответствия PCI DSS;
ежеквартальное ASV-сканирование (если применимо). ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать организации, имеющие местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.5.9 По результатам сертификационного аудита ТСП уровня L2 представляет своему Эквайреру заполненный на русском или английском языке по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером.
2.5.10 К ТСП уровня L3 относятся организации, у которых ежегодно проводится до 1 миллиона Операций по картам ПС «Мир», при этом от 20 000 до 1 миллиона из этих Операций проводится посредством электронной коммерции.
2.5.11 ТСП уровня L3 должны выполнять требования PCI DSS, указанные в Листе самооценки (SAQ). Тип Листа самооценки (SAQ) выбирается Эквайрером, исходя из того, каким способом ТСП принимает платежи<5> .

<5> При выборе подходящего типа листа самооценки, следует руководствоваться документом PCI DSS Self-Assessment Questionnaire Instructions and Guidelines, который доступен на сайте PCI SSC в разделе Resources – Document Library (https://www.pcisecuritystandards.org/document_library), или руководством на сайте АО «НСПК» (https://www.nspk.ru/cards-mir/security/standart pcidss/self-assessment/).
2.5.12 В случае изменения в ТСП уровня L3 способа приема платежей Эквайрер должен обязать ТСП выполнить требования ставшего применимым Листа самооценки (SAQ). Срок предоставления ТСП подтверждения соответствия требованиям PCI DSS устанавливается Эквайрером.
2.5.13 ТСП уровня L3 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
ежегодную самооценку по выбранному Эквайрером типу Листа самооценки (SAQ);
ежеквартальное ASV-сканирование (если применимо). ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать организации, имеющие местонахождение на территории Российской Федерации. Средства сканирования, применяемые поставщиками услуг ASV, должны размещаться на территории Российской Федерации. Применение «облачных» решений, размещенных за границей Российской Федерации, не допускается.
2.5.14 По результатам самооценки ТСП уровня L3 представляет своему Эквайреру заполненный на русском или английском языке по шаблонам PCI SSC Лист самооценки (SAQ). Лист самооценки (SAQ) должен быть подписан уполномоченным представителем ТСП. В случае привлечения к заполнению Листа самооценки (SAQ) аудитора, находящегося в Списке квалифицированных аудиторов по безопасности, Лист самооценки (SAQ) должен быть подписан аудитором и уполномоченным представителем ТСП. В Листе самооценки (SAQ) необходимо указать роль и функции, которые выполнял аудитор в рамках проведенной самооценки.
2.5.15 К ТСП уровня L4 относятся все остальные ТСП, которые не подпадают под уровень L1, L2 или L3.
2.5.16 ТСП уровня L4 должны выполнять требования PCI DSS, указанные в Листе самооценки (SAQ). Тип листа самооценки определяется Эквайрером, исходя из того, каким способом ТСП принимает платежи<5> .
2.5.17 В случае изменения способа приема платежей Эквайрер должен обязать ТСП уровня L4 выполнить требования ставшего применимым Листа самооценки (SAQ). Срок представления ТСП подтверждения соответствия требованиям PCI DSS устанавливается Эквайрером.
2.5.18 ТСП уровня L4 отчитывается о соответствии стандарту PCI DSS перед своим Эквайрером. Сроки и форму отчетности устанавливает Эквайрер.
2.5.19 Допускается использовать русскоязычную версию Листа самооценки (SAQ), доступную на Портале<6> .

<6> Листы самооценки (SAQ A-MIR и SAQ D-MIR) на русском языке размещены во вкладке «Документы» в соответствующем проекте Портала. Листы самооценки на английском языке доступны на сайте PCI SSC в разделе Resources – Document Library (https://www.pcisecuritystandards.org/document_library).
2.5.20 АО «НСПК» оставляет за собой право запрашивать Аттестат соответствия (AOC) или Лист самооценки (SAQ) ТСП у Участника, который взаимодействует с ТСП. По запросу АО «НСПК» участник должен представить запрошенные документы в порядке и сроки, указанные в запросе АО «НСПК».
2.5.21 ТСП, которые используют POS-терминалы для приема карт в целях оплаты товаров (работ, услуг) с предъявлением карты, вправе не подтверждать свое соответствие стандарту PCI DSS посредством сертификационного аудита или самооценки в случае обеспечения Участником, который взаимодействует с такими ТСП, соответствия данного ТСП критериям, указанным в документе «Стандарт ПС “Мир”.
Специальная программа подтверждения соответствия ТСП требованиям безопасности». Если ТСП кроме осуществления операций с предъявлением карты в целях оплаты товаров (работ, услуг) через POS-терминалы ведут свою деятельность также в среде электронной коммерции, то в случае обеспечения Участником соответствия данных ТСП критериям, указанным в документе «Стандарт ПС “Мир”. Специальная программа подтверждения соответствия ТСП требованиям безопасности», ТСП вправе не подтверждать свое соответствие стандарту PCI DSS в отношении среды операций с предъявлением карты, но должны подтверждать свое соответствие требованиям PCI DSS в отношении среды электронной коммерции. Форма оценки соответствия ТСП требованиям PCI DSS в отношении среды электронной коммерции в этом случае определяется на основании годового объема Операций в среде электронной коммерции по аналогии с определением уровня ТСП.
2.5.22 В случае привлечения ТСП через Платежного сервис-провайдера Эквайрер должен обязать ТСП соблюдать требования PCI DSS и проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта.
2.5.23 ТСП, которые в качестве единственного способа приема платежей формируют уникальные ссылки на оплату в личном кабинете на сайте Эквайрера или Платежного сервис-провайдера и передают эти ссылки клиентам вручную с использованием пользовательских технологий передачи сообщений (например, электронная почта, системы мгновенного обмена сообщениями, СМС-сообщения, чаты и т.д.), освобождаются от обязанности проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта.
2.6. Требования к Расчетным центрам
АО «НСПК» оставляет за собой право запросить у Расчетных центров (кроме Банка России) документы, подтверждающие выполнение требований Положения 821-П в любой момент. Расчетные центры (кроме Банка России) обязаны обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК».
2.7. Правила проведения сертификационного аудита и ASV-сканирования
2.7.1 Сертификационный аудит PCI DSS могут проводить организации, имеющие статус QSA и находящиеся в Списке квалифицированных аудиторов по безопасности. Перечень QSA-организаций доступен на сайте PCI SSC в разделе PCI Qualified Professionals – Qualified Security Assessors (https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors/). Список квалифицированных аудиторов по безопасности размещен во вкладке «Документы» в соответствующем проекте Портала.
2.7.2 АО «НСПК» проводит оценку Отчетов о соответствии (ROC). Проверка проводится с целью удостовериться в том, что документированные свидетельства выполнения тестовых процедур подтверждают выполнение проверяемых требований. Оценка проводится согласно положениям Программы оценки, приведенной в Приложении 4 настоящего Стандарта.
2.7.3 Результатом сертификационного аудита являются заполненные на русском или английском языке по шаблонам PCI SSC Отчет о соответствии (ROC) и Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем организации, в которой проходил аудит.
2.7.4 Участники обязаны обеспечить представление аудиторами, либо самостоятельно предоставлять в АО «НСПК» Отчеты о соответствии (ROC) на русском или английском языке и/или Аттестаты соответствия (AOC)<7> на русском или английском языке. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).

<7> Детальные требования к составу передаваемой в АО «НСПК» документации приведены в разделах выше.
2.7.5 Отчет о соответствии (ROC) и/или Аттестат соответствия (AOC) отправляются через Портал в проекте «Программа безопасности (Наименование Участника)».
2.7.6 Ежеквартальное ASV-сканирование должно выполняться организацией, обладающей статусом PCI ASV из списка, размещенного на сайте PCI SSC в разделе PCI Qualified Professionals – Approved Scanning Vendors (https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors/). Отчеты о результатах ASV-сканирования должны по запросу предоставляться в АО «НСПК»
2.8. Контроль соответствия Платежных сервис-провайдеров
2.8.1 Участники (Прямые и Косвенные) должны контролировать соответствие требованиям PCI DSS привлеченных ими Платежных сервис-провайдеров. Один раз в год, в период с 1 по 31 марта, Участники должны представлять в АО «НСПК» сведения о таких Платежных сервис-провайдерах. Сведения о Платежных сервис-провайдерах передаются Участниками через Портал в проекте «Программа безопасности (Наименование Участника)». Шаблон отчета о Платежных сервис-провайдерах, включающий инструкцию по заполнению, находится во вкладке «Документы» в соответствующем проекте Портала.
2.8.2 Отчет должен быть представлен даже в том случае, если Участник не привлекал Платежных сервис-провайдеров в указанный отчетный период. В таком случае в отчете заполняется только вкладка «Данные Участника или ТРР».
2.8.3 Представляемый файл отчета о Платежных сервис-провайдерах должен формироваться на основе актуальной версии шаблона, размещенной во вкладке «Документы» в соответствующем проекте Портала.
2.8.4 Представляемый файл отчета о Платежных сервис-провайдерах должен именоваться согласно следующему формату: [название участника]_ПСП_[год предоставления отчета].xlsx.
2.8.5 АО «НСПК» публикует на сайте https://www.nspk.ru/ список Платежных сервис-провайдеров, соответствующих требованиям стандарта PCI DSS. Опубликованный на сайте https://www.nspk.ru/ список является актуальным. В список включаются только Платежные сервис-провайдеры, которые подтвердили свое соответствие PCI DSS по результатам сертификационного аудита. В список не включаются Платежные сервис-провайдеры, которые подтвердили свое соответствие PCI DSS на основании представления Листа самооценки (SAQ), и Сервис-провайдеры, не являющиеся Платежными сервис-провайдерами.
2.8.6 В рамках ПС «Мир» Участникам рекомендуется пользоваться, а также обеспечить использование привлеченными ими ТРР и ТСП, услугами Платежных сервис-провайдеров, подтвердивших соответствие PCI DSS.
2.8.7 Для внеочередного включения Платежного сервис-провайдера в список Участник должен создать задачу с запросом в свободной форме на Портале в проекте «Программа безопасности (Наименование Участника)». После представления запрашиваемых АО «НСПК» сведений и их проверки на стороне АО «НСПК», АО «НСПК» обновляет список Платежных сервис-провайдеров, соответствующих требованиям стандарта PCI DSS.
2.9. Контроль соответствия ТСП
2.9.1 Участники, осуществляющие свою деятельность в ПС «Мир» по типам А и С, должны контролировать статус соответствия привлеченных ТСП требованиям PCI DSS и представлять АО «НСПК» сведения о ТСП два раза в год по следующему графику:
с 1 по 31 марта – за отчетный период с 1 сентября по 28 февраля;
с 1 по 30 сентября – за отчетный период с 1 марта по 31 августа.
2.9.2 В отчете должны указываться сведения о ТСП, с которыми у Участника были установлены договорные отношения в указанные отчетные периоды.
2.9.3 Отчет должен быть представлен даже в том случае, если Участник, осуществляющий свою деятельность в ПС «Мир» по типу А или С, не привлекал ТСП в указанные отчетные периоды. В таком случае в отчете заполняется только вкладка «Данные Эквайрера».
2.9.4 Представляемый файл отчета о ТСП должен формироваться на основе актуальной версии шаблона, размещенной во вкладке «Документы» в соответствующем проекте Портала.
2.9.5 Представляемый файл отчета о ТСП должен именоваться согласно следующему формату: [название участника]_ТСП_[1 или 2 – указатель отчетного периода за который предоставляется отчет]_[год предоставления отчета].xlsx.
2.9.6 Сведения о привлеченных ТСП Участники передают через Портал в проекте «Программа безопасности (Наименование участника)». Шаблон отчета о ТСП, включающий инструкцию по заполнению, находится во вкладке «Документы» в соответствующем проекте Портала.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.