Eng

Безопасность платежей

Безопасность

icon

Этот раздел поможет разобраться в основных требованиях ПС «Мир» по безопасности. Он содержит актуальную информацию и рекомендации, которые помогут ТСП организовать безопасный прием карт и иных платежных инструментов ПС «Мир».

Безопасность
платежейПрограмма
безопасностиСтандарт
PCI DSSСамооценка
по PCI DSSСпециальная
программа для ТСПЧто делать,
если вас взломали?О фроде

программа безопасности

Программа безопасности — это стандарт ПС «Мир». Он устанавливает требования к защите информации при обработке данных платежных карт ПС «Мир».

Тематические новости, анонсы мероприятий, напоминания о предстоящих событиях читайте в Дайджесте программы безопасности.
Читать дайджест программы безопасности
ДайджестВыберите и скачайте выпуск

В Программе безопасности указано требование о необходимости соблюдения ТСП стандарта Payment Card Industry Data Security Standard (PCI DSS).

ТСП должны подтверждать своё соответствие стандарту PCI DSS и сообщать о статусе своего соответствия Банку-эквайреру, в котором они обслуживаются. Информировать Банк-эквайрер надо каждый раз после оценки соответствия.

требования

Форма оценки соответствия PCI DSS зависит от уровня ТСП. Уровень присваивается каждому ТСП, исходя из того, сколько операций по картам «Мир» в год обрабатывает ТСП и в какой среде (торговый эквайринг или электронная коммерция).

Специальная программа для ТСП

Стандарт PCI DSS

ТСП следует обращаться в обслуживающий его Банк-эквайрер по всем вопросам, связанным с определением уровня ТСП и оценкой соответствия PCI DSS.

Все Банки-эквайреры в ПС «Мир» отвечают за соблюдение подключенными ТСП требований по безопасности ПС «Мир». Это значит, что независимо от того, в каком Банке-эквайрере обслуживается ТСП, от него будут требовать соблюдения требований ПС «Мир».

Невыполнение положений Программы безопасности является нарушением Банком-эквайрером требований Правил и Стандартов ПС «Мир». За такие нарушения Оператор (АО НСПК) может взыскать штраф в соответствии с Правилами ПС «Мир». Обращаем внимание, что взаимодействие Банка-эквайрера и ТСП регулируется договорами, заключенными между ними.

Банки-эквайреры отчитываются перед ПС «Мир» о соответствии своих ТСП требованиям PCI DSS, так ПС «Мир» контролирует соблюдение ТСП требований Программы безопасности. Для ТСП с торговым эквайрингом действует Специальная программа. Она позволяет ТСП не проводить ежегодную оценку соответствия по PCI DSS.

Требования для ТСП

L1 L2 L3 L4
Среда обработки Торговый эквайринг или электронная коммерция Торговый эквайринг или электронная коммерция Только электронная коммерция Торговый эквайринг или электронная коммерция
Число операций (в год) от 6 млн 1 млн — 6 млн 20 000 — 1 млн Остальные (менее 20 000 в среде электронной коммерции или менее 1 млн по торговому эквайрингу)
Форма оценки соответствия PСI DSS Ежегодный Сертификационный аудит1 Ежегодный Сертификационный аудит1,3 Ежегодная самооценка На усмотрение Банка-эквайрера – аудит или самоценка
ASV-сканирование2 каждые 90 дней check check check На усмотрение Банка-эквайрера
Отчётные документы Аттестат соответствия (AOC) с результатами проверки по всем требованиям PCI DSS Аттестат соответствия (AOC) с результатами проверки по требованиям Этапа 1 и 2 Лист самооценки (SAQ) На усмотрение Банка-эквайрера (Аттестат соответствия (AOC) или Лист самооценки (SAQ))

Если в ТСП произошла компрометация карт ПС «Мир», то ему присваивается уровень L1 на один год, начиная с даты выявления факта компрометации. Такое ТСП должно выполнять требования для ТСП уровня L1.

1. Сертификационный аудит могут проводить организации, имеющие статус QSA и находящиеся в Списке квалифицированных аудиторов по безопасности. Перечень QSA-организаций доступен по ссылке. ТСП может проконсультироваться с эквайрером чтобы убедиться, что выбранная для проведения сертификационного аудита организация находится в Списке квалифицированных аудиторов по безопасности.
2. Ежеквартальное ASV-сканирование должно выполняться организацией, обладающей статусом PCI. Перечень ASV-организаций доступен по ссылке. ТСП, имеющие местонахождение на территории Российской Федерации, для проведения ежеквартальных ASV-сканирований должны привлекать поставщиков услуг ASV, имеющих местонахождение на территории Российской Федерации.
3. Аудит проводится по группе требований не в полном объеме, а в объеме Этапа 1 и Этапа 2 Концепции приоритетного подхода к достижению соответствия PCI DSS

вопросы и ответы

ТСП — это юридическое лицо или индивидуальный предприниматель. Если у юридического лица или индивидуального предпринимателя есть несколько точек продаж, то отдельная точка продаж не должна классифицироваться как отдельное ТСП.

Уровень ТСП определяется Банком-эквайрером на основании документа «Программа безопасности ПС „Мир“».

Должно проводиться ASV-сканирование систем и сервисов, доступных из Интернет, которые используются для реализации платежных бизнес-процессов и/или влияют на безопасность систем, входящих в область действия PCI DSS.

ТСП должно провести оценку соответствия в той форме, которую предполагает новый уровень, в течение года с момента изменения уровня.

По завершении оценки соответствия ТСП должно предоставить отчетные документы Банку-эквайреру, который запросил свидетельства.

Для ТСП, которые принимают платежи в среде электронной коммерции, нет возможности отмены оценки соответствия. Для ТСП с наземным эквайрингом есть возможность не проводить оценку соответствия. При соответствии ряду критериев Банк-эквайрер может включить ТСП в Специальную программу подтверждения соответствия ТСП требованиям безопасности. На время участия в Спецпрограмме ТСП освобождается от обязанности проводить сертификационный аудит и ASV-сканирование. Специальная программа для ТСП

ТСП должно выполнять применимые к нему требования PCI DSS и отчитываться перед Банком-эквайрером, в котором обслуживается ТСП. Сроки и форму отчетности для ТСП уровня L4 устанавливает Банк-эквайрер.