Что считать ТСП: юридическое лицо/индивидуальный предприниматель или точка продаж?
ТСП - это юридическое лицо или индивидуальный предприниматель. Если у юридического лица или индивидуального предпринимателя есть несколько точек продаж, то отдельная точка продаж не должна классифицироваться как отдельное ТСП.
Кто устанавливает уровень ТСП?
Уровень ТСП определяется Банком-эквайрером на основании документа «Программа безопасности ПС “Мир”».
Как ТСП узнать, включено ли оно в спецпрограмму?
ТСП следует связаться с банком, с которым у него заключен договор эквайрингового обслуживания.
Если в ТСП используется наземный эквайринг и эквайринг в среде электронной коммерции, то как ТСП вступить в Спецпрограмму?
ТСП следует действовать согласно установленному порядку — необходимо обратиться в Банк-эквайрер, с которым заключен договор эквайрингового обслуживания. Однако, включение ТСП в Спецпрограмму позволит не проводить оценку для устройств наземного эквайринга — POS-терминалов. Для процессов и ИТ-систем, которые используются для хранения, передачи и обработки операций по картам в среде электронной коммерции, по-прежнему необходимо будет проводить самооценку или сертификационный аудит в соответствии с требованиями документа «Программа безопасности ПС „Мир“».
Нужно ли, чтобы терминалы единовременно удовлетворяли требованиям варианта 1 и 2?
Нет. Достаточно удовлетворять одному из вариантов.
Как ТСП может узнать, удовлетворяют ли POS-терминалы, используемые в ТСП, требованиям Спецпрограммы?
ТСП должно связаться со своим Банком-эквайрером для уточнения этой информации.
Банк эквайрер не смог дать ответы на вопросы ТСП о включении этого в Спецпрограмму. Что делать?
Если Банк-эквайрер не смог ответить на вопросы ТСП о Спецпрограмме, то сотрудники ТСП могут направить свои вопросы на mirsecurity@nspk.ru
Если ТСП включено в Спецпрограмму, значит ли это, что ТСП не нужно выполнять требования PCI DSS?
Вне зависимости от включения ТСП в Спецпрограмму, ТСП нужно выполнять применимые требования стандарта PCI DSS. Применимость требований PCI DSS зависит от используемых в ТСП технологий и процессов. Более подробную информацию о соответствии PCI DSS вы можете найти в разделе
Общая страница стандарта PCI DSS
Какие для ТСП преимущества от включения в Спецпрограмму?
Во время участия в Спецпрограмме ТСП может не выполнять ежегодную самооценку или не проводить ежегодный аудит на соответствие PCI DSS.
Как долго ТСП может находится в Спецпрограмме?
Разрешение на включение ТСП в Спецпрограмму выдается на 2 года. После этого срока Банк-эквайрер может запросить у ПС «Мир» продление участия ТСП в Спецпрограмме. В этом случае Банк-эквайрер должен будет повторно предоставить свидетельства выполнения ТСП условий Спецпрограммы, действующих на момент подачи запроса.
Если в ТСП используются терминалы от нескольких банков, то как вступить в Спецпрограмму?
ТСП должно обратиться в каждый из Банков-эквайреров, терминалы которых используются в ТСП. Каждый Банк-эквайрер должен подать заявку в НСПК на включение ТСП в Спецпрограмму.
В ТСП используются терминалы от нескольких банков. Один из банков включил ТСП в Спецпрограмму. Значит ли это, что ТСП автоматически включено в Спецпрограмму у остальных банков?
Нет. Каждый Банк-эквайрер может подтвердить выполнение условий Спецпрограммы только для своего оборудования, которое он предоставил ТСП. Банк-эквайрер заявляет в Спецпрограмму только то ТСП, с которым у него есть договор на эквайринговое обслуживание. Поэтому если в ТСП используются POS-терминалы, предоставленные разными Банками-эквайрерами и/или платежными сервис-провайдерами, то ТСП следует обратиться в каждый из Банков-эквайреров, предоставивших оборудование.
POS-терминалы в ТСП предоставляет платежный сервис-провайдер. Как можно включить ТСП в Спецпрограмму?
ТСП следует обратиться к платежному сервис-провайдеру и в Банк-эквайрер, который оказывает эквайринговые услуги.
В ТСП используются mPOS-терминалы. Может ли такое ТСП быть включено в Спецпрограмму?
Да. К mPOS-терминалам применяются все условия действующей Спецпрограммы.
Что будет если ТСП включено в спецпрограмму, но в нем произошла компрометация данных карт «Мир»?
Если в ТСП был подтвержден инцидент ИБ, то ТСП будет исключено из Спецпрограммы. ТСП должно будет выполнять требования о ежегодном подтверждении соответствия путем проведения сертификационного аудита по PCI DSS.
ТСП прекращает договорные отношения с Банком-эквайрером. Остается ли такое ТСП в Спецпрограмме?
Нет. Если ТСП прекращает отношения с Банком-эквайрером, то ТСП исключается из Спецпрограммы. Выданное банку разрешение на включение ТСП в Спецпрограмму аннулируется. В случае возобновления отношений с этим же Банком-эквайрером, ТСП снова необходимо будет пройти процедуру включения в Спецпрограмму (при желании).
Каковы критерии применимости требования проводить ASV-сканирование?
Должно проводиться ASV-сканирование систем и сервисов, доступных из Интернет, которые используются для реализации платежных бизнес-процессов и/или влияют на безопасность систем, входящих в область действия PCI DSS.
Количество транзакций в ТСП изменилось (в большую или меньшую сторону) и изменился уровень ТСП. Что необходимо делать ТСП при изменении его уровня?
ТСП должно провести оценку соответствия в той форме, которую предполагает новый уровень, в течение года с момента изменения уровня.
Кому предоставлять отчетные документы об ежегодной оценке соответствия?
По завершении оценки соответствия ТСП должно предоставить отчетные документы Банку-эквайреру, который запросил свидетельства.
Существует ли для ТСП уровня L1 или L2 возможность не проводить сертификационный аудит и ASV-сканирование?
Для ТСП, которые принимают платежи в среде электронной коммерции, нет возможности отмены оценки соответствия. Для ТСП с наземным эквайрингом есть возможность не проводить оценку соответствия. При соответствии ряду критериев Банк-эквайрер может включить ТСП в Специальную программу подтверждения соответствия ТСП требованиям безопасности. На время участия в Спецпрограмме ТСП освобождается от обязанности проводить сертификационный аудит и ASV-сканирование.
Специальная программа для ТСП
ТСП присвоен уровень L4. Можно ничего не делать?
ТСП должно выполнять применимые к нему требования PCI DSS и отчитываться перед Банком-эквайрером, в котором обслуживается ТСП. Сроки и форму отчетности для ТСП уровня L4 устанавливает Банк-эквайрер.