Eng

Безопасность платежей

Безопасность

icon

Этот раздел поможет разобраться в основных требованиях ПС «Мир» по безопасности. Он содержит актуальную информацию и рекомендации, которые помогут ТСП организовать безопасный прием карт и иных платежных инструментов ПС «Мир».

Безопасность
платежейПрограмма
безопасностиСтандарт
PCI DSSСамооценка
по PCI DSSСпециальная
программа для ТСПЧто делать,
если вас взломали?О фроде

САМООЦЕНКА

В зависимости от того, каким образом ТСП обрабатывает платежи, Банк-эквайрер выбирает для каждого ТСП подходящий тип Листа самооценки (SAQ), от которого зависит набор требований PCI DSS, выполнение которых надо проверить. Шаблоны Листов самооценки (SAQ), содержащие инструкции по заполнению, доступны по ссылке.

Подтверждение соответствия ТСП стандарту PCI DSS уровня L3 и L4 выполняется путем проведения самооценки.

типы листов самооценки

A

Применим к ТСП, выполняющим транзакции без предъявления карты (электронная коммерция) или МОТО (по наземной почте или телефону) с привлечением сторонних организаций, подтвердивших свое соответствие требованиям стандарта PCI DSS, и которые не хранят, не обрабатывают и не передаются использованием электронным средств никакие данные Держателей карт в своих системах или в своей локальной среде. Этот Лист Самооценки не применяется к каналам, в которых проводятся операции с предъявлением карты.

A-EP

Применим к ТСП, имеющим веб-сайт, выполняющим транзакции электронной коммерции с привлечением сторонних организаций, подтвердивших свое соответствие требованиям стандарта PCI DSS, и которые не хранят, не обрабатывают и не передают с использованием электронно-вычислительных средств никакие данные Держателей карт в своих системах или в своей локальной среде. Этот Лист Самооценки применяется исключительно к каналам электронной коммерции.

B

Применим к ТСП, которые используют исключительно импринтеры и/или автономные терминалы с подключением к внешним сетям (dial-out) (подключение к платежному сервис- провайдеру или Эквайреру выполняется через телефонную линию) и которые не хранят данные Держателей карт в электронном виде. Этот Лист Самооценки не применяется к каналам электронной коммерции.

B-IP

Применим к ТСП, которые используют отдельно стоящие терминалы, одобренные согласно PCI PTS, с IP-подключением к платежному сервис-провайдеру или Эквайреру и не хранящие данные Держателей карт в электронном виде. Этот Лист Самооценки не применяется к каналам электронной коммерции.

C-VT

Применим к ТСП, которые при выполнении каждой отдельной транзакции с помощью клавиатуры вручную вводят данные Держателя карты в виртуальный терминал, подключенный к сети Интернет и предоставляемый сторонней организаций, подтвердившей свое соответствие требованиям стандарта PCI DSS. Такое ТСП не хранит данные Держателей карт в электронном виде. Этот Лист Самооценки не применяется к каналам электронной коммерции.

C

Применим к ТСП, которые используют POS-терминалы, напрямую подключенные к Интернету или POS-терминалы, находящиеся в локальной сети ТСП, подключенной к Интернету. Данные Держателей карт не хранятся в ТСП в электронном виде. Этот Лист Самооценки не применяется к каналам электронной коммерции.

P2PE

Применим к ТСП, которые используют сертифицированные P2PE-решения и не хранят данные Держателей карт в электронном виде. Этот Лист Самооценки не применяется к каналам электронной коммерции.

D

Применим для всех остальных ТСП, которые не попадают под критерии остальных Листов самооценки.

требования

Самооценка может проводиться ТСП самостоятельно. ТСП вправе привлекать QSA для помощи в проведении самооценки. QSA должен быть привлечен для оценки ТСП на соответствие требованиям PCI DSS, указанным в соответствующем Листе самооценки (SAQ), если того потребует Банк-эквайрер.

Для ТСП уровня L3 с перенаправлением на страницу оплаты или с iFrame разработан сокращенный лист самооценки на русском языке SAQ A-MIR. ТСП, которые подходят под критерии применимости Листа самооценки SAQ D, могут использовать лист самооценки на русском языке SAQ D-MIR. Для получения шаблонов Листов самооценки SAQ A-MIR или SAQ D-MIR ТСП необходимо обратиться к эквайреру.

Результат самооценки актуален один год, начиная с даты, указанной в заполненном листе самооценки, поэтому самооценку следует проводить ежегодно.

Лист самооценки должен быть подписан уполномоченным представителем ТСП и аудитором (если он принимал участие в самооценке). Порядок и форма предоставления заполненного и подписанного Листа самооценки определяется Банками-эквайрерами. ТСП следует обратиться в свой Банк-эквайрер для получения необходимой информации о порядке предоставления SAQ.

Если ТСП подтверждает свое соответствие стандарту PCI DSS с помощью сертификационного аудита, самооценку оно проводить не обязано.

СХЕМЫ ВЫБОРА ЛИСТОВ САМООЦЕНКИ

ТСП, принимающие платежи в Интернете, могут определить подходящий им Лист самооценки с помощью схемы:
chart
ТСП, принимающие платежи с предъявлением клиентом физической карты, могут определить подходящий им Лист самооценки с помощью схемы:
chart