С недавних пор платежные системы MasterCard и Visa стали просить от поставщиков различных услуг, фирм и предприятий, которые работают с информацией пластиковых карт, придерживаться стандартам PCI DSS.
Они были разработаны специальным Советом безопасности PCI SSC выдвигающий свои требования к компаниям, которые хранят, передают и обрабатывают в своей информационной структуре все сведения платежных карт. Эти требования относятся ко всем подобным компаниям. И с 2012 года все, кто вовлечен в эти процессы, обязаны следовать этим правилам. Но не всем организациям следует сертифицироваться, а только тем, чья работа связана с обработкой данных платежных систем и с возможностью повлиять на их безопасность. Можно узнать больше о сертификации на compliance-control.ua.
Это могут быть:
- Финансовые компании.
- Торгово-сервисные организации.
- Фирмы, занимающиеся доставкой кассовых терминалов.
- Производители программного обеспечения и средств ЭВМ.
Требования
- Компания должна организовать защиту сети.
- Управлять доступом ко всей информации о держателях карт.
- Конфигурировать компонентами инфраструктуры.
- Иметь механизмы проверки подлинности пользователей.
- Организовать физическую защиту информации.
- Защищать все передаваемые сведения и т.д.
Visa определила четыре уровня сертификации для торгово-сервисных предприятий, и два для тех, кто поставляет услуги.
Предприятия
4: для компаний обрабатывающих меньше 20 тыс. переводов за 12 месяцев. Каждый год должна заполняться анкета SAQ. Каждые 3 месяца рекомендовано сканирование ASV. Соответствие требований проверяет банк-эквайер.
3: для предприятий, которые обрабатывают от 20 тыс. до 1 млн сделок за 12 месяцев. Сертификация такая же, как и для 4-ого уровня, только без проверки банка.
2: для обработки от 1 до 6 млн транзакций ежегодно. Сертификация та же.
1: для тех компаний, которые обрабатывают больше 6 млн переводов в год. Требования включают в себя систему безопасности QSA-аудит, и ежеквартальное сканирование.
Поставщики
2: для поставщиков услуг обрабатывающих и хранящих данные о меньше чем 300 тыс. операций ежегодно. Сертификация состоит из заполнения анкеты и сканирования ASV.
1: для всех платежных систем и поставщиков услуг обрабатывающих и хранящих данные о меньше чем 300 тыс. операций ежегодно. Сертификация включает в себя систему безопасности QSA-аудит, и ежеквартальное сканирование.