Безопасность платежей в торгово-сервисных предприятиях

Безопасность платежей

Этот сайт поможет разобраться в основных требованиях ПС «Мир» по безопасности. Он содержит актуальную информацию и рекомендации, которые помогут ТСП организовать безопасный прием карт и иных платежных инструментов ПС «Мир».

Программа безопасности

Стандарт PCI DSS

О фроде

Требования ПС «Мир» по безопасности, указывающее на необходимость соблюдения PCI DSS, изложены в Стандарте ПС «Мир» «Программа безопасности»

Что делать, если вас взломали?

Банковские карты могут приниматься в ТСП разными способами:

Без предъявления карты

В среде электронной коммерции или по телефону.

С предъявлением карты

В терминалах оплаты

Карты могут быть скомпрометированы злоумышленниками в ТСП независимо от используемого используемого способа приема карт. Без необходимой защиты, риски компрометации могут быть высокими. Обычно злоумышленники пытаются получить реквизиты карт для проведения несанкционированных операций. Для снижения таких рисков в ПС «Мир» установлены требования для защиты данных карт.

Все организации, которые обрабатывают, передают или хранят данные карт «Мир», должны выполнять требования стандарта Payment Card Industry Data Security Standard (PCI DSS).
Требования по безопасности предъявляются, чтобы защитить Держателей карт «Мир» от несанкционированных операций.

НСПК ведет список Платежных сервис-провайдеров, подтвердивших свое соответствие требованиям стандарта PCI DSS по результатам сертификационного аудита и предоставивших НСПК необходимое свидетельство. НСПК публикует этот список для информирования заинтересованных лиц. Список обновляется не реже одного раза в месяц.

Список Платежных сервис-провайдеров, соответствующих требованиям стандарта
PCI DSS

Для приема платежей по картам «Мир» ТСП могут привлекать сторонние организации, которые не являются Банками-эквайрерами. Такие организации помогают ТСП подключиться к Банкам-эквайрерам и могут предоставлять программные или технические средства для приема платежей по картам.  Эти организации называются Платежными сервис-провайдерами. В зависимости от количества обрабатываемых Платежным сервис-провайдером  операций по картам «Мир» за год, установлены требования по подтверждению соответствия и отчетности Платежных сервис-провайдеров перед НСПК и банками, с которыми они взаимодействуют.

Требования для платежных сервис-провайдеров разных уровней

L1 L2

уровень

Тип организации

требования

ТРР
Платежные сервис- провайдеры, обрабатывающие в год более 300 000 операций по картам ПС «Мир»

Ежегодный сертификационный аудит с привлечением QSA-аудитора.¹

Платежные сервис-провайдеры (за исключением ТРР), обрабатывающие в год менее 300 000 операций по картам ПС «Мир»

Ежегодная самооценка.
Ежеквартальное ASV-сканирование

1. Аудит должен проводиться QSA-аудитором, аккредитованным PCI SSC и указанным на сайте
2. ASV-сканирование должно выполняться с использованием ASV-решения от поставщика, аккредитованным PCI SSC и указанным на сайте

Вопросы и ответы

Что считать ТСП: юридическое лицо/индивидуальный предприниматель или точка продаж?

ТСП - это юридическое лицо или индивидуальный предприниматель. Если у юридического лица или индивидуального предпринимателя есть несколько точек продаж, то отдельная точка продаж не должна классифицироваться как отдельное ТСП.

Кто устанавливает уровень ТСП?

Уровень ТСП определяется Банком-эквайрером на основании документа «Программа безопасности ПС “Мир”».

Как ТСП узнать, включено ли оно в спецпрограмму?

ТСП следует связаться с банком, с которым у него заключен договор эквайрингового обслуживания.

Если в ТСП используется наземный эквайринг и эквайринг в среде электронной коммерции, то как ТСП вступить в Спецпрограмму?

ТСП следует действовать согласно установленному порядку — необходимо обратиться в Банк-эквайрер, с которым заключен договор эквайрингового обслуживания. Однако, включение ТСП в Спецпрограмму позволит не проводить оценку для устройств наземного эквайринга — POS-терминалов. Для процессов и ИТ-систем, которые используются для хранения, передачи и обработки операций по картам в среде электронной коммерции, по-прежнему необходимо будет проводить самооценку или сертификационный аудит в соответствии с требованиями документа «Программа безопасности ПС „Мир“».

Нужно ли, чтобы терминалы единовременно удовлетворяли требованиям варианта 1 и 2?

Нет. Достаточно удовлетворять одному из вариантов.

Как ТСП может узнать, удовлетворяют ли POS-терминалы, используемые в ТСП, требованиям Спецпрограммы?

ТСП должно связаться со своим Банком-эквайрером для уточнения этой информации.

Банк эквайрер не смог дать ответы на вопросы ТСП о включении этого в Спецпрограмму. Что делать?

Если Банк-эквайрер не смог ответить на вопросы ТСП о Спецпрограмме, то сотрудники ТСП могут направить свои вопросы на mirsecurity@nspk.ru

Если ТСП включено в Спецпрограмму, значит ли это, что ТСП не нужно выполнять требования PCI DSS?

Вне зависимости от включения ТСП в Спецпрограмму, ТСП нужно выполнять применимые требования стандарта PCI DSS. Применимость требований PCI DSS зависит от используемых в ТСП технологий и процессов. Более подробную информацию о соответствии PCI DSS вы можете найти в разделе Общая страница стандарта PCI DSS

Какие для ТСП преимущества от включения в Спецпрограмму?

Во время участия в Спецпрограмме ТСП может не выполнять ежегодную самооценку или не проводить ежегодный аудит на соответствие PCI DSS.

Как долго ТСП может находится в Спецпрограмме?

Разрешение на включение ТСП в Спецпрограмму выдается на 2 года. После этого срока Банк-эквайрер может запросить у ПС «Мир» продление участия ТСП в Спецпрограмме. В этом случае Банк-эквайрер должен будет повторно предоставить свидетельства выполнения ТСП условий Спецпрограммы, действующих на момент подачи запроса.

Если в ТСП используются терминалы от нескольких банков, то как вступить в Спецпрограмму?

ТСП должно обратиться в каждый из Банков-эквайреров, терминалы которых используются в ТСП. Каждый Банк-эквайрер должен подать заявку в НСПК на включение ТСП в Спецпрограмму.

В ТСП используются терминалы от нескольких банков. Один из банков включил ТСП в Спецпрограмму. Значит ли это, что ТСП автоматически включено в Спецпрограмму у остальных банков?

Нет. Каждый Банк-эквайрер может подтвердить выполнение условий Спецпрограммы только для своего оборудования, которое он предоставил ТСП. Банк-эквайрер заявляет в Спецпрограмму только то ТСП, с которым у него есть договор на эквайринговое обслуживание. Поэтому если в ТСП используются POS-терминалы, предоставленные разными Банками-эквайрерами и/или платежными сервис-провайдерами, то ТСП следует обратиться в каждый из Банков-эквайреров, предоставивших оборудование.

POS-терминалы в ТСП предоставляет платежный сервис-провайдер. Как можно включить ТСП в Спецпрограмму?

ТСП следует обратиться к платежному сервис-провайдеру и в Банк-эквайрер, который оказывает эквайринговые услуги.

В ТСП используются mPOS-терминалы. Может ли такое ТСП быть включено в Спецпрограмму?

Да. К mPOS-терминалам применяются все условия действующей Спецпрограммы.

Что будет если ТСП включено в спецпрограмму, но в нем произошла компрометация данных карт «Мир»?

Если в ТСП был подтвержден инцидент ИБ, то ТСП будет исключено из Спецпрограммы. ТСП должно будет выполнять требования о ежегодном подтверждении соответствия путем проведения сертификационного аудита по PCI DSS.

ТСП прекращает договорные отношения с Банком-эквайрером. Остается ли такое ТСП в Спецпрограмме?

Нет. Если ТСП прекращает отношения с Банком-эквайрером, то ТСП исключается из Спецпрограммы. Выданное банку разрешение на включение ТСП в Спецпрограмму аннулируется. В случае возобновления отношений с этим же Банком-эквайрером, ТСП снова необходимо будет пройти процедуру включения в Спецпрограмму (при желании).

Каковы критерии применимости требования проводить ASV-сканирование?

Должно проводиться ASV-сканирование систем и сервисов, доступных из Интернет, которые используются для реализации платежных бизнес-процессов и/или влияют на безопасность систем, входящих в область действия PCI DSS.

Количество транзакций в ТСП изменилось (в большую или меньшую сторону) и изменился уровень ТСП. Что необходимо делать ТСП при изменении его уровня?

ТСП должно провести оценку соответствия в той форме, которую предполагает новый уровень, в течение года с момента изменения уровня.

Кому предоставлять отчетные документы об ежегодной оценке соответствия?

По завершении оценки соответствия ТСП должно предоставить отчетные документы Банку-эквайреру, который запросил свидетельства.

Существует ли для ТСП уровня L1 или L2 возможность не проводить сертификационный аудит и ASV-сканирование?

Для ТСП, которые принимают платежи в среде электронной коммерции, нет возможности отмены оценки соответствия. Для ТСП с наземным эквайрингом есть возможность не проводить оценку соответствия. При соответствии ряду критериев Банк-эквайрер может включить ТСП в Специальную программу подтверждения соответствия ТСП требованиям безопасности. На время участия в Спецпрограмме ТСП освобождается от обязанности проводить сертификационный аудит и ASV-сканирование. Специальная программа для ТСП

ТСП присвоен уровень L4. Можно ничего не делать?

ТСП должно выполнять применимые к нему требования PCI DSS и отчитываться перед Банком-эквайрером, в котором обслуживается ТСП. Сроки и форму отчетности для ТСП уровня L4 устанавливает Банк-эквайрер.