Введите запрос и нажмите Enter
О компании
О компании АО «НСПК»
Обработка персональных данных
Оценка условий труда на рабочих местах
Официальные сайты
Акционерам и инвесторам
Линия доверия
Соответствие PCI DSS
Деятельность в области информационных технологий
Реквизиты
Платежная система «Мир»
Безопасность платежей в торгово-сервисных предприятиях
Перечень операторов услуг платежной инфраструктуры
Правила и тарифы платежной системы «Мир»
Программное обеспечение
Электронные сертификаты – О Проекте
Электронные сертификаты – Оферта для ТСП
Банкам
Руководства
Эквайринг SoftPOS
Правила и тарифы
Центр знаний
О центре знаний
Тренинги и вебинары
Электронные курсы
Пресс-центр
Вакансии
Контакты
EN
О компании
О компании АО «НСПК»
Обработка персональных данных
Оценка условий труда на рабочих местах
Официальные сайты
Акционерам и инвесторам
Линия доверия
Соответствие PCI DSS
Деятельность в области информационных технологий
Реквизиты
Платежная система «Мир»
Безопасность платежей в торгово-сервисных предприятиях
Перечень операторов услуг платежной инфраструктуры
Правила и тарифы платежной системы «Мир»
Программное обеспечение
Электронные сертификаты – О Проекте
Электронные сертификаты – Оферта для ТСП
Банкам
Руководства
Эквайринг SoftPOS
Правила и тарифы
Центр знаний
О центре знаний
Тренинги и вебинары
Электронные курсы
Пресс-центр
Вакансии
Контакты
EN
Введите запрос и нажмите Enter
ГлавнаяБезопасность платежей в торгово-сервисных предприятияхПрограмма безопасности
Что делать, если вас взломали?

Что делать, если вас взломали?

Данные платежных карт могут быть украдены, если ТСП их не защищает или защита недостаточна. Примеры того, что злоумышленник может сделать, обойдя слабую защиту:

Взломать интернет-магазин и украсть базу с карточными данными.
Изменить код сайта интернет-магазина так, что клиенты будут перенаправляться на подложные страницы оплаты или будет происходить негласный сбор реквизитов карт.
Заразить информационные системы и оборудование ТСП вредоносным ПО для кражи данных карт.

Также при слабой защите есть вероятность, что недобросовестные сотрудники ТСП смогут совершать неправомерные действия с банковскими картами.

Об инциденте безопасности, который мог привести к утечке данных, ТСП чаще всего узнают при наступлении одного или нескольких событий:

Запрос от правоохранительных органов.
Жалобы клиентов на мошеннические операции по картам, которыми ранее расплачивались в этом магазине.
Обнаружение нестандартной активности в IT-системах ТСП.
Сообщения от Банка-эквайрера о том, что по картам, которыми ранее расплачивались в этом магазине, прошли мошеннические операции.

Как ТСП должно реагировать на инцидент безопасности

1.Когда ТСП стало известно об инциденте безопасности, то оно должно проинформировать об этом Банк-эквайрер. Это очень важно, потому что от этого зависит, как долго скомпроментированные данные платежных карт могут использоваться злоумышленниками. Чем дольше у злоумышленников будут данные активных платежных карт, тем больший ущерб могут понести их владельцы. Если информация о возможном инциденте поступила в ТСП от Банка-эквайрера, то ТСП должно выполнить последующие действия.
2.Вместе с Банком-эквайрером магазин должен определить перечень карт, которые могли быть скомпрометированы.
3.После уведомления Банка-эквайрера и платежной системы, нужно приступить к сбору свидетельств, которые помогут при проведении расследования и установлении причины произошедшего инцидента. Если у ТСП нет специалистов c нужными знаниями и опытом по работе с инцидентами безопасности, можно привлечь Банк-эквайрер или стороннюю организацию, специализирующуюся на расследовании киберинцидентов. Оператор (АО НСПК) оставляет за собой право обязать Банк-эквайрер привлечь к расследованию стороннюю организацию, специализирующуюся на расследовании киберинцидентов.
ТСП стало известно о возможном инциденте безопасности
Незамедлительное информирование Банка-эквайрера об инциденте безопасности
Определение перечня скомпрометированных карт
Сбор свидетельств
Проведение расследования
Установление причин инцидента
Проведение сертификационного аудита по PCI DSS В течение 1 года с момента закрытия инцидента
Получение информации о возможном инциденте безопасности в ТСП от Банка- эквайрера.

По требованиям ПС «Мир» Банки-эквайреры обязаны уведомлять платежную систему об инцидентах информационной безопасности, которые произошли в подключенных ТСП, и отчитываться о результатах расследования. Если в ТСП произошел инцидент, то в зависимости от причиненного им ущерба, к Банку-эквайреру могут быть применены штрафные санкции со стороны Платежной системы. Поэтому в интересах Банка-эквайрера помогать ТСП в вопросах обеспечения безопасности и участвовать в работе с инцидентом безопасности, если он произойдет.

Если в ТСП произошла компрометация карт «Мир», то на один год ему присваивается уровень L1. Это означает, что ТСП должно провести сертификационный аудит на соответствие PCI DSS и этим доказать, что несоответствия, из-за которых произошла компрометация, устранены.
Настоящий Web-ресурс nspk.ru использует файлы «cookie», в том числе собирает сведения о Посетителях Web-ресурса, в целях улучшения качества работы и удобства использования Web-ресурса, персонализации сервисов и предложений для Посетителей Web-ресурса. Обработка сведений о Посетителях Web-ресурса осуществляется в соответствии с Политикой обработки и защиты персональных данных в АО «НСПК». При использовании данного Web-ресурса Вы подтверждаете свое согласие на использование файлов «cookie». Если Вы не хотите использовать файлы «cookie», измените настройки браузера.