Программа безопасности

Программа безопасности — это стандарт ПС «Мир». Он устанавливает требования к защите информации при обработке данных платежных карт ПС «Мир».

В Программе безопасности указано требование о необходимости соблюдения ТСП стандарта Payment Card Industry Data Security Standard (PCI DSS).

ТСП должны подтверждать своё соответствие стандарту PCI DSS и сообщать о статусе своего соответствия Банку-эквайреру, в котором они обслуживаются. Информировать Банк-эквайрер надо каждый раз после оценки соответствия.


Форма оценки соответствия PCI DSS зависит от уровня ТСП. Уровень присваивается каждому ТСП, исходя из того, сколько транзакций по картам «Мир» в год обрабатывает ТСП и в какой среде (торговый эквайринг или электронная коммерция).

ТСП следует обращаться в обслуживающий его Банк-эквайрер по всем вопросам, связанным с определением уровня ТСП и оценкой соответствия PCI DSS.

Все Банки-эквайреры в ПС «Мир» отвечают за соблюдение подключенными ТСП требований по безопасности ПС «Мир». Это значит, что независимо от того, в каком Банке-эквайрере обслуживается ТСП, от него будут требовать соблюдения требований ПС «Мир».

Невыполнение положений Программы безопасности является нарушением Банком-эквайрером требований Правил и Стандартов ПС «Мир». За такие нарушения Оператор АО (НСПК) может взыскать штраф в соответствии с Правилами ПС «Мир». Обращаем внимание, что взаимодействие Банка- эквайрера и ТСП регулируется договорами, заключенными между ними.

Банки-эквайреры отчитываются перед ПС «Мир» о соответствии своих ТСП требованиям PCI DSS, так ПС «Мир» контролирует соблюдение ТСП требований Программы безопасности. Для ТСП с торговым эквайрингом действует Специальная программа. Она позволяет ТСП не проводить ежегодную оценку соответствия по PCI DSS.

Уровень ТСП
 
L1
L2
L3
L4
Среда обработки
Торговый эквайринг или электронная коммерция
Торговый эквайринг или электронная коммерция
Торговый эквайринг или электронная коммерция
Торговый эквайринг или электронная коммерция
Число транзакций (в год)
от 6 млн
1 млн — 6 млн
20 000 — 1 млн
Остальные (менее 20 000 в среде электронной коммерции или менее 1 млн по торговому эквайрингу)
Форма оценки соответствия PСI DSS
Ежегодный Сертификационный аудит или ISA-аудит
Ежегодный Сертификационный аудит или ISA-аудит
Ежегодная самооценка
На усмотрение Банка-эквайрера – аудит или самоценка
ASV-сканирование2 каждые 90 дней
На усмотрение Банка-эквайрера
Отчётные документы
Аттестат соответствия (AOC) с результатами проверки по всем требованиям PCI DSS
Аттестат соответствия (AOC) с результатами проверки по требованиям Этапа 1 и 2
Лист самооценки (SAQ)
На усмотрение Банка-эквайрера (Аттестат соответствия (AOC) или Лист самооценки (SAQ))
Если в ТСП произошла компрометация карт ПС «Мир», то ему присваивается уровень L1 на один год, начиная с даты выявления факта компрометации. Такое ТСП должно выполнять требования для ТСП уровня L1.