Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Программа безопасности v.1.6

Стандарт

2.4. Требования к Платежным сервис-провайдерам

Для проведения оценки соответствия по документу войдите в систему.

Список требований

2. Защита данных платежных карт
2.4. Требования к Платежным сервис-провайдерам
2.4.1 Для Платежных сервис-провайдеров состав обязательных к выполнению требований стандарта PCI DSS и перечень обязательных процедур для подтверждения соответствия стандарту PCI DSS определяется в зависимости от годового объема обрабатываемых Операций по Картам ПС «Мир».
2.4.2 Все Платежные сервис-провайдеры должны выполнять требования PCI DSS, включая те, что отмечены, как дополнительные требования, относящиеся к Сервис-провайдерам.
2.4.3 Платежные сервис-провайдеры делятся на два уровня L1 и L2.
2.4.4 К Платежным сервис-провайдерам уровня L1 относятся:
ТРР;
платежные сервис-провайдеры, которые ежегодно обрабатывают более 300 000 (трехсот тысяч) Операций по Картам ПС «Мир»;
платежные сервис-провайдеры, у которых в предыдущем календарном году была подтверждена компрометация<3> Карт ПС «Мир».
<3>Компрометация Карт ПС «Мир» у Платежного сервис-провайдера считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир», в инфраструктуре Платежного сервис-провайдера был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником»
2.4.5 Платежные сервис-провайдеры уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
ежегодный сертификационный аудит;
ежеквартальное ASV- сканирование.
2.4.6 Участники должны обеспечить представление в АО «НСПК» заполненных по шаблонам PCI SSC Отчета о соответствии (ROC) и Аттестата соответствия (AOC) по результатам сертификационного аудита ТРР. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат о соответствии (AOC) должен быть подписан аудитором и уполномоченным представителем ТРР. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC).
2.4.7 В случае проведения сертификационного аудита дистанционно или частично дистанционно в дополнение к Отчету о соответствии (ROC) Участники должны предоставить сведения о работах, проведенных аудитором удаленно. В АО «НСПК» вместе с Отчетом о соответствии (ROC) должна предоставляться заполненная и подписанная аудитором форма Addendum for ROC/ROV: Remote Assessment<1> .
<1>Указанная форма содержится в документе PCI SSC Remote Assessment Guidelines and Procedures. Документ доступен по ссылке: https://www.pcisecuritystandards.org/document_library/.
2.4.8 Платежные сервис-провайдеры уровня L1, не являющиеся ТРР, должны представлять Аттестат о соответствии (AOC) Участникам или ТРР, с которыми они осуществляют взаимодействие.
2.4.9 Платежные сервис-провайдеры уровня L2 – это все Платежные сервис-провайдеры, которые не подпадают под критерии уровня L1.
2.4.10 Платежные сервис-провайдеры уровня L2 должны подтверждать свое соответствие стандарту PCI DSS, выполняя:
- ежегодную самооценку;
- ежеквартальное ASV- сканирование (если применимо).
2.4.11 Результатом самооценки является заполненный Лист самооценки (SAQ D-MIR). Шаблон Листа самооценки (SAQ D-MIR) размещен на сайте АО «НСПК» в разделе «Правила и тарифы платежной системы “Мир”» по адресу https://www.nspk.ru/cards-mir/terms-andtariffs/. Лист самооценки (SAQ D-MIR) должен быть подписан уполномоченным представителем Платежного сервис-провайдера.
2.4.12 Платежные сервис-провайдеры уровня L2 отчитываются о соответствии стандарту PCI DSS перед Участниками или TPP, с которыми взаимодействуют. АО «НСПК» вправе в любой момент запросить у Участника документы, подтверждающие соответствие Платежного сервис-провайдера уровня L2 требованиям PCI DSS. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК»
2.4.13 Платежный сервис-провайдер, в том числе ТРР, должен обеспечить выполнение требований PCI DSS Сервис-провайдером, привлеченным им для оказания услуг. Сервис-провайдер может подтвердить свое соответствие в рамках сертификационного аудита Платежного сервис-провайдера или проведя сертификационный аудит PCI DSS самостоятельно.
2.4.14 Платежные сервис-провайдеры, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.