146

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

146 Глава 2. Международные стандарты безопасности of Compliance Form) по каждому ТСП уровня 1, показывающую, что ка¬ ждое ТСП прошло успешный аудит соответствия PCI DSS. В отношении эквайреров, не предоставивших платежной системе форму аттестата со¬ ответствия, подтверждающую, что каждое ТСП уровня 1 прошло про¬ верку соответствия PCI DSS, после этой даты VISA имеет право приме¬ нить соответствующие меры по контролю рисков, вплоть до наложения штрафов. При этом указанная дата (30 сентября 2010 г.) не превалирует над более ранними сроками хранения конфиденциальных данных, опре¬ деленными в конкретных регионах и соответствующими принудитель¬ ными программами, уже введенными в действие. Сервис-провайдеры второго уровня не включаются в список PCI DSS Compliant Service Providers, доступный на сайте VISA. Для включения в данный список сервис-провайдер второго уровня должен пройти про¬ цедуры проверки соответствия для первого уровня. Начиная с 1 февраля 2009 г. VISA требует от сервис-провайдеров уров¬ ня 1 отправки Attestation of Compliance Form (аттестат соответствия) и раз¬ дела «Executive Summary» (результаты проведенного аудита) отчета о со ответствии (Report on Compliance, ROC). Сервис-провайдеры уровня 2 от правляют заполненный самоопросник (Self-Assessment Questionnaire, SAQ) версии D. VISA не рассматривает содержимое самоопросника, так как за точность заполнения самоопросника SAQ отвечают эмитенты и эквайреры. В случае компрометации Участник или сервис-провайдер участника, торгово-сервисное пред¬ приятие или сервис-провайдер торгово-сервисного предприятия дол¬ жны немедленно сообщить о подозреваемых или подтвержденных уте¬ рянных или похищенных материалах или записях, содержащих данные владельца карты VISA. Если участник знает или подозревает факт нарушения безопасности торгово-сервисного предприятия или сервис-провайдера, он должен принять немедленные меры для расследования этого инцидента и огра¬ ничить воздействие на учетные данные владельцев карт. Участник, отвечающий за организацию, пострадавшую от компроме¬ тации, должен предоставить VISA всю информацию по инциденту,