Куда я попал?
Стандарт ПС "Мир". Программа безопасности v.1.6
Стандарт
2. Защита данных платежных карт
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
2.1.3 Расчетные центры (кроме Банка России) должны обеспечивать защиту информации в соответствии с требованиями Положения Банка России № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 821-П), применимых к Операторам услуг платежной инфраструктуры.
-
2.3.2 Косвенные участники, у которых в предыдущем календарном году была подтверждена<2> компрометация Карт ПС «Мир», должны подтверждать соответствие PCI DSS следующим образом:
- пройти сертификационный аудит в текущем календарном году;
- выполнять ежеквартальное ASV-сканирование в течение текущего календарного года.
<2> Компрометация Карт ПС «Мир» у Косвенного участника считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в инфраструктуре Косвенного участника был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником». -
2.3.5 Косвенные участники обязаны обеспечивать выполнение требований стандарта PCI DSS Сервис-провайдерами, услугами которых они пользуются. Сервис-провайдер может подтвердить свое соответствие требованиям стандарта PCI DSS как в рамках сертификационного аудита Косвенного участника, так и в рамках самостоятельного сертификационного аудита PCI DSS.
-
2.3.6 Косвенный участник отчитывается о соответствии требованиям стандарта PCI DSS своему Спонсору. Форму и сроки отчетности для Косвенного участника устанавливает Спонсор. АО «НСПК» оставляет за собой право в любой момент запросить у Прямого участника документы, подтверждающие соответствие Косвенного участника требованиям PCI DSS.
-
2.4.12 Платежные сервис-провайдеры уровня L2 отчитываются о соответствии стандарту PCI DSS перед Участниками или TPP, с которыми взаимодействуют. АО «НСПК» вправе в любой момент запросить у Участника документы, подтверждающие соответствие Платежного сервис-провайдера уровня L2 требованиям PCI DSS. Участник обязан обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК»
-
2.4.13 Платежный сервис-провайдер, в том числе ТРР, должен обеспечить выполнение требований PCI DSS Сервис-провайдером, привлеченным им для оказания услуг. Сервис-провайдер может подтвердить свое соответствие в рамках сертификационного аудита Платежного сервис-провайдера или проведя сертификационный аудит PCI DSS самостоятельно.
-
2.5.4 К ТСП уровня L1 относятся:
- ТСП, у которых ежегодно проводится более 6 миллионов Операций по Картам ПС «Мир»;
- любые ТСП, по которым в предыдущем календарном году была подтверждена компрометация<4> Карт «Мир».
<4> Компрометация Карт ПС «Мир» у ТСП считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир» в точке обслуживания в ТСП был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником». -
2.6. Требования к Расчетным центрам
АО «НСПК» оставляет за собой право запросить у Расчетных центров (кроме Банка России) документы, подтверждающие выполнение требований Положения 821-П в любой момент. Расчетные центры (кроме Банка России) обязаны обеспечить представление указанных документов в порядке и сроки, указанные в запросе АО «НСПК». -
2.7.2 АО «НСПК» проводит оценку Отчетов о соответствии (ROC). Проверка проводится с целью удостовериться в том, что документированные свидетельства выполнения тестовых процедур подтверждают выполнение проверяемых требований. Оценка проводится согласно положениям Программы оценки, приведенной в Приложении 4 настоящего Стандарта.
-
2.8.6 Для внеочередного включения Платежного сервис-провайдера в список Участник должен создать задачу с запросом в свободной форме на Портале в проекте «Программа безопасности (Наименование Участника)». После представления запрашиваемых АО «НСПК» сведений и их проверки на стороне АО «НСПК», АО «НСПК» обновляет список Платежных сервис-провайдеров, соответствующих требованиям стандарта PCI DSS.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.