Eng

Безопасность платежей

Безопасность

icon

Этот раздел поможет разобраться в основных требованиях ПС «Мир» по безопасности. Он содержит актуальную информацию и рекомендации, которые помогут ТСП организовать безопасный прием карт и иных платежных инструментов ПС «Мир».

Безопасность
платежейПрограмма
безопасностиСтандарт
PCI DSSСамооценка
по PCI DSSСпециальная
программа для ТСПЧто делать,
если вас взломали?О фроде

способы приема банковских карт

Банковские карты могут приниматься в ТСП разными способами:

1
Без предъявления картыВ среде электронной коммерции или по телефону
2
С предъявлением картыВ терминалах оплаты

Карты могут быть скомпрометированы злоумышленниками в ТСП независимо от используемого способа приема карт. Без необходимой защиты, риски компрометации могут быть высокими. Обычно злоумышленники пытаются получить реквизиты карт для проведения несанкционированных операций. Для снижения таких рисков в ПС «Мир» установлены требования для защиты данных карт.

Все организации, которые обрабатывают, передают или хранят данные карт «Мир», а также организации, которые не хранят, не передают и не обрабатывают данные карт «Мир», но имеют возможность влиять на безопасность данных карт «Мир» должны выполнять требования стандарта Payment Card Industry Data Security Standard (PCI DSS).

Требования по безопасности предъявляются, чтобы защитить Держателей карт «Мир» от несанкционированных операций.

Требования ПС «Мир» по безопасности, указывающее на необходимость соблюдения PCI DSS, изложены в Стандарте ПС «Мир» «Программа безопасности».

Что делать, если вас взломали?

Платежные сервис-провайдеры

Для приема платежей по картам «Мир» ТСП могут привлекать сторонние организации, которые не являются Банками-эквайрерами. Такие организации помогают ТСП подключиться к Банкам-эквайрерам и могут предоставлять программные или технические средства для приема платежей по картам. Эти организации называются Платежными сервис-провайдерами. В зависимости от количества обрабатываемых Платежным сервис-провайдером операций по картам «Мир» за год, установлены требования по подтверждению соответствия и отчетности Платежных сервис-провайдеров перед НСПК и банками, с которыми они взаимодействуют.

НСПК ведет список Платежных сервис-провайдеров, подтвердивших свое соответствие требованиям стандарта PCI DSS по результатам сертификационного аудита и предоставивших НСПК необходимое свидетельство. НСПК публикует этот список для информирования заинтересованных лиц. Список обновляется не реже одного раза в месяц.

Список Платежных сервис-провайдеров, соответствующих требованиям стандарта
PCI DSS

Требования для платежных сервис-провайдеров разных уровней

Уровень Тип организации Требования
L1 ТРР
Платежные сервис- провайдеры, обрабатывающие в год более 300 000 операций по картам ПС «Мир»

 Ежегодный сертификационный аудит.1
 
L2 Платежные сервис-провайдеры (за исключением ТРР), обрабатывающие в год менее 300 000 операций по картам ПС «Мир» Ежегодная самооценка.
Ежеквартальное ASV-сканирование.2
 
1. Аудит должен проводиться QSA-аудитором, аккредитованным PCI SSC и указанным на сайте
2. ASV-сканирование должно выполняться с использованием ASV-решения от поставщика, аккредитованного PCI SSC и указанного на сайте