Стандарт ПС "Мир". Программа безопасности v.1.6

2.1.1 Следующими организациями должно быть обеспечено выполнение требований стандарта безопасности PCI DSS: 

2.1.2 Участники обязаны ежегодно подтверждать свое соответствие указанным требованиям, а также обеспечить подтверждение привлеченными Участником организациями, соответствия этим требованиям. Соответствие должно подтверждаться в порядке, предусмотренном настоящим документом. 

2.1.4 По запросу АО «НСПК» Участники и Расчетные центры (кроме Банка России) должны предоставлять в АО «НСПК» следующие сведения: 

Форма отчетности устанавливается АО «НСПК». 

2.2.1 Прямые участники, имеющие прямое подключение к ОПКЦ НСПК, должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

2.2.2 По результатам сертификационного аудита Прямой участник, имеющий прямое подключение к ОПКЦ НСПК, должен представлять в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные по шаблонам PCI SSC. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем Прямого Участника. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC). 

2.2.3 В случае проведения сертификационного аудита дистанционно или частично дистанционно в дополнение к Отчету о соответствии (ROC) Участник должен предоставить сведения о работах, проведенных аудитором удаленно. В АО «НСПК» вместе с Отчетом о соответствии (ROC) должна предоставляться заполненная и подписанная аудитором форма Addendum for ROC/ROV: Remote Assessment<1> . 
<1>Указанная форма содержится в документе PCI SSC Remote Assessment Guidelines and Procedures. Документ доступен по ссылке: https://www.pcisecuritystandards.org/document_library/. 

2.2.4 Прямые участники, которые подключены к ОПКЦ НСПК через TPP, должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

2.2.6 Оформленный Лист самооценки (SAQ D-MIR) на русском или английском языке передается в АО «НСПК» через Портал в проекте «Программа безопасности (Наименование Участника)». Лист самооценки (SAQ D-MIR) должен быть подписан уполномоченным представителем Прямого участника. Лист самооценки (SAQ D-MIR) должен быть предоставлен в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Листа самооценки (SAQ D-MIR). 

2.2.7 Прямые участники, которые оказывают услуги авторизации, клиринга и расчетов другим Участникам, должны выполнять все требования PCI DSS, включая те, что отмечены как дополнительные требования, относящиеся к Сервис-провайдерам. 

2.2.8 Прямые участники обязаны обеспечивать выполнение требований стандарта PCI DSS Сервис-провайдерами, услугами которых они пользуются. Сервис-провайдер может подтвердить свое соответствие требованиям стандарта PCI DSS, как в рамках сертификационного аудита Прямого участника, так и самостоятельного сертификационного аудита PCI DSS. 

2.2.9 АО «НСПК» оставляет за собой право запрашивать дополнительные сведения и документы о проведенном Участником сертификационном аудите или самооценке. По запросу АО «НСПК» Участник должен представить запрошенную информацию или документы в порядке и сроки, указанные в запросе АО «НСПК». 

2.2.10 АО «НСПК» оставляет за собой право проводить анализ защищенности Участника и привлеченной им организации. АО «НСПК» обязуется уведомить Участника о планируемых к проведению работах по анализу защищенности не позднее чем за 3 (трех) рабочих дня до их начала. Уведомление Участника выполняется через задачу на Портале в разделе «Программа безопасности». 

2.2.11 Российские Прямые Участники для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. 

2.3.1 Косвенные участники, имеющие прямое подключение к ОПКЦ НСПК, должны подтверждать свое соответствие стандарту PCI DSS, выполняя:

2.3.2 Косвенные участники, у которых в предыдущем календарном году была подтверждена<2> компрометация Карт ПС «Мир», должны подтверждать соответствие PCI DSS следующим образом: 

2.3.3 По результатам сертификационного аудита Косвенный участник, имеющий прямое подключение к ОПКЦ НСПК, должен представить в АО «НСПК» Отчет о соответствии (ROC) и Аттестат соответствия (AOC), заполненные по шаблонам PCI SSC. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и представителем Косвенного участника. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC). 

2.3.4 В случае проведения сертификационного аудита дистанционно или частично дистанционно в дополнение к Отчету о соответствии (ROC) Участник должен предоставить сведения о работах, проведенных аудитором удаленно. В АО «НСПК» должна предоставляться заполненная и подписанная аудитором форма Addendum for ROC/ROV: Remote Assessment<1> . 
<1>Указанная форма содержится в документе PCI SSC Remote Assessment Guidelines and Procedures. Документ доступен по ссылке: https://www.pcisecuritystandards.org/document_library/. 

2.3.7 Российские Косвенные Участники для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. 

2.4.4 К Платежным сервис-провайдерам уровня L1 относятся: 

<3>Компрометация Карт ПС «Мир» у Платежного сервис-провайдера считается подтвержденной, когда факт несанкционированного доступа к данным Карт ПС «Мир», в инфраструктуре Платежного сервис-провайдера был подтвержден в ходе расследования Инцидента ИБ в порядке, установленном документом «Стандарт ПС “Мир”. Порядок обработки Инцидентов ИБ Участником» 

2.4.5 Платежные сервис-провайдеры уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя: 

2.4.6 Участники должны обеспечить представление в АО «НСПК» заполненных по шаблонам PCI SSC Отчета о соответствии (ROC) и Аттестата соответствия (AOC) по результатам сертификационного аудита ТРР. Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат о соответствии (AOC) должен быть подписан аудитором и уполномоченным представителем ТРР. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC). 

2.4.7 В случае проведения сертификационного аудита дистанционно или частично дистанционно в дополнение к Отчету о соответствии (ROC) Участники должны предоставить сведения о работах, проведенных аудитором удаленно. В АО «НСПК» вместе с Отчетом о соответствии (ROC) должна предоставляться заполненная и подписанная аудитором форма Addendum for ROC/ROV: Remote Assessment<1> . 
<1>Указанная форма содержится в документе PCI SSC Remote Assessment Guidelines and Procedures. Документ доступен по ссылке: https://www.pcisecuritystandards.org/document_library/. 

2.4.8 Платежные сервис-провайдеры уровня L1, не являющиеся ТРР, должны представлять Аттестат о соответствии (AOC) Участникам или ТРР, с которыми они осуществляют взаимодействие. 

2.4.14 Платежные сервис-провайдеры, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации. 

2.5.3 Уровень ТСП может измениться в случае изменения годового объема осуществляемых в ТСП Операций с использованием Карт ПС «Мир». Актуализация уровня ТСП должна проводиться Эквайрером каждые полгода при предоставлении АО «НСПК» сведений о ТСП. Эквайрер отслеживает изменение уровня и должен обязать ТСП: 

2.5.4 К ТСП уровня L1 относятся: 

2.5.5 ТСП уровня L1 должны подтверждать свое соответствие стандарту PCI DSS, выполняя: 

2.5.6 По результатам сертификационного аудита ТСП уровня L1 представляет своему Эквайреру заполненный по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером. 

2.5.7 К ТСП уровня L2 относятся организации, у которых ежегодно проводится от 1 до 6 миллионов Операций по Картам ПС «Мир».

2.5.8 ТСП уровня L2 должны подтверждать свое соответствие требованиям, выполняя: 

<5> Концепция приоритетного подхода (Prioritized Approach for PCI DSS) на русском языке доступна по ссылке https://www.nspk.ru/upload/docs/Prioritized_Approach_for_PCI_DSS.pdf. Англоязычная версия документа доступна на сайте https://www.pcisecuritystandards.org/document_library/. 

2.5.9 По результатам сертификационного аудита ТСП уровня L2 представляет своему Эквайреру заполненный по шаблонам PCI SSC Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем ТСП. Формат представления АОС (на бумажном носителе или в электронном виде) определяется Эквайрером. 

2.5.10 К ТСП уровня L3 относятся организации, у которых ежегодно проводится от 20 000 до 1 миллиона Операций по картам ПС «Мир» посредством электронной коммерции. 

2.5.11 ТСП уровня L3 должны выполнять требования PCI DSS, указанные в Листе самооценки (SAQ). Тип Листа самооценки (SAQ) выбирается Эквайрером, исходя из того, каким способом ТСП принимает платежи<6> . 
<6> При выборе подходящего типа листа самооценки, следует руководствоваться документом PCI DSS Self-Assessment Questionnaire Instructions and Guidelines, который доступен на сайте https://www.pcisecuritystandards.org/document_library/, или руководством на сайте https://www.nspk.ru/cardsmir/security/standart-pcidss/self-assessment/. 

2.5.13 ТСП уровня L3 должны подтверждать свое соответствие стандарту PCI DSS, выполняя: 

2.5.14 По результатам самооценки ТСП уровня L3 представляет своему Эквайреру заполненный по шаблонам PCI SSC Лист самооценки (SAQ). Лист самооценки (SAQ) должен быть подписан уполномоченным представителем ТСП. В случае привлечения к заполнению Листа самооценки (SAQ) аккредитованного в ПС «Мир» аудитора или Внутреннего аудитора (ISA), Лист самооценки (SAQ) должен быть подписан аудитором и уполномоченным представителем ТСП. В Листе самооценки (SAQ) необходимо указать роль и функции, которые выполнял аудитор в рамках проведенной самооценки. 

2.5.15 К ТСП уровня L4 относятся все остальные ТСП, которые не подпадают под уровень L1, L2 или L3. 

2.5.16 ТСП уровня L4 должны выполнять требования PCI DSS, указанные в Листе самооценки (SAQ). Тип листа самооценки определяется Эквайрером, исходя из того, каким способом ТСП принимает платежи<5> . 
<5> Концепция приоритетного подхода (Prioritized Approach for PCI DSS) на русском языке доступна по ссылке https://www.nspk.ru/upload/docs/Prioritized_Approach_for_PCI_DSS.pdf. Англоязычная версия документа доступна на сайте https://www.pcisecuritystandards.org/document_library/. 

2.5.17 В случае изменения способа приема платежей Эквайрер должен обязать ТСП уровня L4 выполнить требования ставшего применимым Листа самооценки (SAQ). Срок представления ТСП подтверждения соответствия требованиям PCI DSS устанавливается Эквайрером. 

2.5.19 Допускается использовать русскоязычную версию SAQ, доступную на сайте PCI SSC<7> . 
<7> Листы самооценки (SAQ) на русском и английском языке доступны на сайте https://www.pcisecuritystandards.org/document_library?category=saqs. 

2.5.20 АО «НСПК» оставляет за собой право запрашивать Аттестат соответствия (AOC) или Лист самооценки (SAQ) ТСП у Участника, который взаимодействует с ТСП. По запросу АО «НСПК» участник должен представить запрошенные документы в порядке и сроки, указанные в запросе АО «НСПК». 

2.5.21 ТСП уровня L1, L2, L4, которые используют только POS-терминалы для приема карт в целях оплаты товаров (работ, услуг) с предъявлением карты, вправе не подтверждать свое соответствие стандарту PCI DSS посредством сертификационного аудита или самооценки в случае обеспечения Участником, который взаимодействует с такими ТСП, соответствия данного ТСП критериям, указанным в документе «Стандарт ПС “Мир”. 
Специальная программа подтверждения соответствия ТСП требованиям безопасности». 

2.5.22 В случае привлечения ТСП через Платежного сервис-провайдера Эквайрер должен обязать ТСП соблюдать требования PCI DSS и проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта. 

2.5.23 ТСП, которые в качестве единственного способа приема платежей формируют уникальные ссылки на оплату в личном кабинете на сайте Эквайрера или Платежного сервис-провайдера и передают эти ссылки клиентам вручную с использованием пользовательских технологий передачи сообщений (например, электронная почта, системы мгновенного обмена сообщениями, СМС-сообщения, чаты и т.д.), освобождаются от обязанности проводить оценку соответствия ТСП требованиям PCI DSS согласно положениям настоящего Стандарта. 

2.7.1 Сертификационный аудит PCI DSS могут проводить организации, имеющие статус QSA и находящиеся в Списке квалифицированных аудиторов по безопасности. Перечень QSA-организаций доступен по ссылке: https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors/. Список квалифицированных аудиторов по безопасности размещен во вкладке «Документы» в соответствующем проекте Портала. 

2.7.3 Результатом сертификационного аудита являются заполненные по шаблонам PCI SSC Отчет о соответствии (ROC) и Аттестат соответствия (AOC). Допускается использование шаблона Аттестата соответствия (AOC) на русском языке, размещенного на Портале. Аттестат соответствия (AOC) должен быть подписан аудитором и уполномоченным представителем организации, в которой проходил аудит. 

2.7.4 Участники обязаны обеспечить представление аудиторами, либо самостоятельно предоставлять в АО «НСПК» Отчеты о соответствии (ROC) на русском или английском языке и/или Аттестаты соответствия (AOC)<8> на русском или английском языке. Отчет о соответствии (ROC) и Аттестат соответствия (AOC) должны быть предоставлены в АО «НСПК» не позднее, чем через 25 рабочих дней после истечения срока действия предыдущего Аттестата соответствия (AOC). 
<8>Детальные требования к составу передаваемой в АО «НСПК» документации приведены в разделах выше. 

2.7.5 Отчет о соответствии (ROC) и/или Аттестат соответствия (AOC) отправляются через Портал в проекте «Программа безопасности (Наименование Участника)». 

2.7.6 Сертификационный аудит PCI DSS в ТСП могут проводить Внутренние аудиторы (ISA), прошедшие обучение и сертифицированные по программе Совета PCI SSC, согласно перечню https://www.pcisecuritystandards.org/assessors_and_solutions/internal_security_assessors/. 

2.7.7 Ежеквартальное ASV-сканирование должно выполняться организацией, обладающей статусом PCI ASV из списка совета PCI SSC: https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors/. Отчеты о результатах ASV-сканирования должны по запросу предоставляться в АО «НСПК». 

2.8.1 Участники (Прямые и Косвенные) должны контролировать соответствие требованиям PCI DSS привлеченных ими Платежных сервис-провайдеров. Один раз в год, в период с 1 по 31 марта, Участники должны представлять в АО «НСПК» сведения о таких Платежных сервис-провайдерах. Сведения о Платежных сервис-провайдерах передаются Участниками через Портал в проекте «Программа безопасности (Наименование Участника)». Шаблон отчета о Платежных сервис-провайдерах, включающий инструкцию по заполнению, находится во вкладке «Документы» в соответствующем проекте Портала. 

2.8.2 Отчет должен быть представлен даже в том случае, если Участник не привлекал Платежных сервис-провайдеров в указанный отчетный период. В таком случае в отчете заполняется только вкладка «Данные Участника или ТРР». 

2.8.3 Представляемый файл отчета о Платежных сервис-провайдерах должен именоваться согласно следующему формату: [название участника]_ПСП_[год предоставления отчета].xlsx 

2.8.4 АО «НСПК» публикует на сайте https://www.nspk.ru/ список Платежных сервис-провайдеров, соответствующих требованиям стандарта PCI DSS. Опубликованный на сайте список является актуальным. В список включаются только Платежные сервис-провайдеры, которые подтвердили свое соответствие PCI DSS по результатам сертификационного аудита. В список не включаются Платежные сервис-провайдеры, которые подтвердили свое соответствие PCI DSS на основании представления Листа самооценки (SAQ), и Сервис-провайдеры, не являющиеся Платежными сервис-провайдерами. 

2.8.5 В рамках ПС «Мир» Участникам рекомендуется пользоваться, а также обеспечить использование привлеченными ими ТРР и ТСП, услугами Платежных сервис-провайдеров, подтвердивших соответствие PCI DSS. 

2.9.1 Участники, осуществляющие свою деятельность в ПС «Мир» по типам А и С, должны контролировать статус соответствия привлеченных ТСП требованиям PCI DSS и представлять АО «НСПК» сведения о ТСП уровней L1, L2 и L3 два раза в год по следующему графику: 

2.9.2 В отчете должны указываться сведения о ТСП, с которыми у Участника были установлены договорные отношения в указанные отчетные периоды. 

2.9.3 Отчет должен быть представлен даже в том случае, если Участник, осуществляющий свою деятельность в ПС «Мир» по типу А или С, не привлекал ТСП в указанные отчетные периоды. В таком случае в отчете заполняется только вкладка «Данные Эквайрера». 

2.9.4 Представляемый файл отчета о ТСП должен именоваться согласно следующему формату: [название участника]_ТСП_[1 или 2 – указатель отчетного периода за который предоставляется отчет]_[год предоставления отчета].xlsx. 

2.9.5 Сведения о привлеченных ТСП Участники передают через Портал в проекте «Программа безопасности (Наименование участника)». Шаблон отчета о ТСП, включающий инструкцию по заполнению, находится во вкладке «Документы» в соответствующем проекте Портала.