Введите запрос и нажмите Enter
О компании
О компании
Этапы создания
Центр знаний
Корпоративное управление
Обработка персональных данных
Оценка условий труда на рабочих местах
Официальные сайты
Акционерам и инвесторам
Линия доверия
Соответствие PCI DSS
Деятельность в области информационных технологий
Реквизиты
О центре знаний
Тренинги и вебинары
Устав и внутренние документы
Акционерам и инвесторам
Платежная система «Мир»
Безопасность платежей в торгово-сервисных предприятиях
Перечень операторов услуг платежной инфраструктуры
Правила и тарифы платежной системы «Мир»
Программное обеспечение
Электронные сертификаты – О Проекте
Электронные сертификаты – Оферта для ТСП
Банкам
Руководства
Эквайринг SoftPOS
Правила и тарифы
Пресс-центр
Вакансии
Контакты
EN
О компании
О компании
О компании
Этапы создания
Этапы создания
Центр знаний
О центре знаний
Тренинги и вебинары
Корпоративное управление
Устав и внутренние документы
Обработка персональных данных
Обработка персональных данных
Оценка условий труда на рабочих местах
Оценка условий труда на рабочих местах
Официальные сайты
Официальные сайты
Акционерам и инвесторам
Акционерам и инвесторам
Линия доверия
Линия доверия
Соответствие PCI DSS
Соответствие PCI DSS
Деятельность в области информационных технологий
Деятельность в области информационных технологий
Реквизиты
Реквизиты
О компании
Этапы создания
О центре знаний
Тренинги и вебинары
Устав и внутренние документы
Обработка персональных данных
Оценка условий труда на рабочих местах
Официальные сайты
Акционерам и инвесторам
Линия доверия
Соответствие PCI DSS
Деятельность в области информационных технологий
Реквизиты
Платежная система «Мир»
Безопасность платежей в торгово-сервисных предприятиях
Безопасность платежей в торгово-сервисных предприятиях
Перечень операторов услуг платежной инфраструктуры
Перечень операторов услуг платежной инфраструктуры
Правила и тарифы платежной системы «Мир»
Правила и тарифы платежной системы «Мир»
Программное обеспечение
Программное обеспечение
Электронные сертификаты – О Проекте
Электронные сертификаты – О Проекте
Электронные сертификаты – Оферта для ТСП
Электронные сертификаты – Оферта для ТСП
Безопасность платежей в торгово-сервисных предприятиях
Перечень операторов услуг платежной инфраструктуры
Правила и тарифы платежной системы «Мир»
Программное обеспечение
Электронные сертификаты – О Проекте
Электронные сертификаты – Оферта для ТСП
Банкам
Руководства
Руководства
Эквайринг SoftPOS
Эквайринг SoftPOS
Правила и тарифы
Правила и тарифы
Руководства
Эквайринг SoftPOS
Правила и тарифы
Пресс-центр
Вакансии
Контакты
EN
Введите запрос и нажмите Enter
ГлавнаяБезопасность платежей в торгово-сервисных предприятияхПрограмма безопасности
Что делать, если вас взломали?

Что делать, если вас взломали?

Данные платежных карт могут быть украдены, если ТСП их не защищает или защита недостаточна. Примеры того, что злоумышленник может сделать, обойдя слабую защиту:

Взломать интернет-магазин и украсть базу с карточными данными.
Изменить код сайта интернет-магазина так, что клиенты будут перенаправляться на подложные страницы оплаты или будет происходить негласный сбор реквизитов карт.
Заразить информационные системы и оборудование ТСП вредоносным ПО для кражи данных карт.

Также при слабой защите есть вероятность, что недобросовестные сотрудники ТСП смогут совершать неправомерные действия с банковскими картами.

Об инциденте безопасности, который мог привести к утечке данных, ТСП чаще всего узнают при наступлении одного или нескольких событий:

Запрос от правоохранительных органов.
Жалобы клиентов на мошеннические операции по картам, которыми ранее расплачивались в этом магазине.
Обнаружение нестандартной активности в IT-системах ТСП.
Сообщения от Банка-эквайрера о том, что по картам, которыми ранее расплачивались в этом магазине, прошли мошеннические операции.

Как ТСП должно реагировать на инцидент безопасности

1.Когда ТСП стало известно об инциденте безопасности, то оно должно проинформировать об этом Банк-эквайрер. Это очень важно, потому что от этого зависит, как долго скомпроментированные данные платежных карт могут использоваться злоумышленниками. Чем дольше у злоумышленников будут данные активных платежных карт, тем больший ущерб могут понести их владельцы. Если информация о возможном инциденте поступила в ТСП от Банка-эквайрера, то ТСП должно выполнить последующие действия.
2.Вместе с Банком-эквайрером магазин должен определить перечень карт, которые могли быть скомпрометированы.
3.После уведомления Банка-эквайрера и платежной системы, нужно приступить к сбору свидетельств, которые помогут при проведении расследования и установлении причины произошедшего инцидента. Если у ТСП нет специалистов c нужными знаниями и опытом по работе с инцидентами безопасности, можно привлечь Банк-эквайрер или стороннюю организацию, специализирующуюся на расследовании киберинцидентов.
ТСП стало известно о возможном инциденте безопасности
Незамедлительное информирование Банка-эквайрера об инциденте безопасности
Определение перечня скомпрометированных карт
Сбор свидетельств
Проведение расследования
Установление причин инцидента
Проведение сертификационного аудита по PCI DSS В течение 1 года с момента закрытия инцидента
Получение информации о возможном инциденте безопасности в ТСП от Банка- эквайрера.

По требованиям ПС «Мир» Банки-эквайреры обязаны уведомлять платежную систему об инцидентах информационной безопасности, которые произошли в подключенных ТСП, и отчитываться о результатах расследования. Если в ТСП произошел инцидент, то в зависимости от причиненного им ущерба, к Банку-эквайреру могут быть применены штрафные санкции со стороны Платежной системы. Поэтому в интересах Банка-эквайрера помогать ТСП в вопросах обеспечения безопасности и участвовать в работе с инцидентом безопасности, если он произойдет.

Если в ТСП произошла компрометация карт «Мир», то на один год ему присваивается уровень L1. Это означает, что ТСП должно провести сертификационный аудит на соответствие PCI DSS и этим доказать, что несоответствия, из-за которых произошла компрометация, устранены.
Настоящий Web-ресурс nspk.ru использует файлы «cookie», в том числе собирает сведения о Посетителях Web-ресурса, в целях улучшения качества работы и удобства использования Web-ресурса, персонализации сервисов и предложений для Посетителей Web-ресурса. Обработка сведений о Посетителях Web-ресурса осуществляется в соответствии с Политикой обработки и защиты персональных данных в АО «НСПК». При использовании данного Web-ресурса Вы подтверждаете свое согласие на использование файлов «cookie». Если Вы не хотите использовать файлы «cookie», измените настройки браузера.