Безопасность платежей
Безопасность
Этот раздел поможет разобраться в основных требованиях ПС «Мир» по безопасности. Он содержит актуальную информацию и рекомендации, которые помогут ТСП организовать безопасный прием карт и иных платежных инструментов ПС «Мир».
примеры взлома
Данные платежных карт могут быть украдены, если ТСП их не защищает или защита недостаточна. Примеры того, что злоумышленник может сделать, обойдя слабую защиту:
Взломать интернет-магазин и украсть базу с карточными данными.
Изменить код сайта интернет-магазина так, что клиенты будут перенаправляться на подложные страницы оплаты или будет происходить негласный сбор реквизитов карт.
Заразить информационные системы и оборудование ТСП вредоносным ПО для кражи данных карт.
выявление инцидента
Об инциденте безопасности, который мог привести к утечке данных, ТСП чаще всего узнают при наступлении одного или нескольких событий:
Запрос от правоохранительных органов.
Жалобы клиентов на мошеннические операции по картам, которыми ранее расплачивались в этом магазине.
Обнаружение нестандартной активности в IT-системах ТСП.
Сообщения от Банка-эквайрера о том, что по картам, которыми ранее расплачивались в этом магазине, прошли мошеннические операции.
Также при слабой защите есть вероятность, что недобросовестные сотрудники ТСП смогут совершать неправомерные действия с банковскими картами.
реакция на инцидент
Как ТСП должно реагировать на инцидент безопасности
Когда ТСП стало известно об инциденте безопасности, то оно должно проинформировать об этом Банк-эквайрер. Это очень важно, потому что от этого зависит, как долго скомпроментированные данные платежных карт могут использоваться злоумышленниками. Чем дольше у злоумышленников будут данные активных платежных карт, тем больший ущерб могут понести их владельцы. Если информация о возможном инциденте поступила в ТСП от Банка-эквайрера, то ТСП должно выполнить последующие действия.
Вместе с Банком-эквайрером магазин должен определить перечень карт, которые могли быть скомпрометированы.
После уведомления Банка-эквайрера и платежной системы, нужно приступить к сбору свидетельств, которые помогут при проведении расследования и установлении причины произошедшего инцидента. Если у ТСП нет специалистов c нужными знаниями и опытом по работе с инцидентами безопасности, можно привлечь Банк-эквайрер или стороннюю организацию, специализирующуюся на расследовании киберинцидентов. Оператор (АО НСПК) оставляет за собой право обязать Банк-эквайрер привлечь к расследованию стороннюю организацию, специализирующуюся на расследовании киберинцидентов.
уведомление об инциденте
По требованиям ПС «Мир» Банки-эквайреры обязаны уведомлять платежную систему об инцидентах информационной безопасности, которые произошли в подключенных ТСП, и отчитываться о результатах расследования. Если в ТСП произошел инцидент, то в зависимости от причиненного им ущерба, к Банку-эквайреру могут быть применены штрафные санкции со стороны Платежной системы. Поэтому в интересах Банка-эквайрера помогать ТСП в вопросах обеспечения безопасности и участвовать в работе с инцидентом безопасности, если он произойдет.
Если в ТСП произошла компрометация карт «Мир», то на один год ему присваивается уровень L1. Это означает, что ТСП должно провести сертификационный аудит на соответствие PCI DSS и этим доказать, что несоответствия, из-за которых произошла компрометация, устранены.