139

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Стандарты международных платежных систем: PCI DSS и смежные стандарты 139 магазина с POS-терминалом возьмутся процессы разработки приложе ний? При этом сам стандарт остается применимым. И вопросы, связанные, например, с контролем физического доступа к POS-терминалу, должны быть решены. Итак, примем как факт, что если номера карт обращаются в системе — применимые требования PCI DSS нужно выполнять. Теперь обратимся к требованиям платежных систем (в первую оче¬ редь VISA и MasterCard), ведь это именно они определяют, что компа¬ нии должны делать, чтобы с ними работать. Именно они определяют различные способы подтверждения выпол¬ нения требований стандарта PCI DSS для различных организаций, сами их классифицируют и определяют штрафные санкции за нарушение их требований. У каждой платежной системы есть своя программа: для VISA — это Account Information Security (AIS) Programme , для MasterCard — это Site Data Protection (SDP) Program . Программы немного различаются, но очевиден единый подход к оцен¬ ке риска — чем больше данных платежных карт проходит через органи¬ зацию, тем более жесткие требования к ее проверке на соответствие стандарту. При этом максимальный уровень проверки — это проведение ежегодного аудита с привлечением сертифицированного аудитора QSA, а также проведение ежеквартальных сканирований с привлечением сер¬ тифицированной компании ASV. Минимальный уровень проверки — это самостоятельное заполнение опросного листа или даже (в случае с Master¬ Card для торгово-сервисных организаций 3-го и 4-го уровней) отсутст¬ вие каких-либо требований (их определяет банк-эквайрер). Несмотря на то что в принципе подход единый, требования по отчет¬ ности и область, которую нужно проверять при аудите, немного разные. Итак, необходимо начать с области применения стандарта PCI DSS. Исходно стандарт PCI DSS разрабатывался в основном для крупных 1 2 1 Подробнее см. далее подраздел «Описание программы Visa AIS». Описание SDP приведено далее в подразделе «Описание программы MasterCard SDP». 2