Безопасность карточного бизнеса - страница 54
Таким образом, для того чтобы снизить затраты на выполнение требований платежных систем по достижению соответствия PCI DSS, рекомендуется в первую очередь уменьшить область проверки путем правильной сегментации сети и внедрения защитных мер, обеспечивающих безопасность взаимодействия с подключенными системами.
При этом необходимо осознавать, что риск компрометации данных платежных карт из систем, исключенных из области проверки, будет несомненно выше, и его необходимо учитывать при планировании и внедрении системы защиты. Вполне разумным шагом выглядит планирование достижения соответствия PCI DSS и в этих системах следующим этапом.
Всем организациям, которые хранят, обрабатывают или передают данные платежных карт VISA, необходимо соответствовать программе AIS. Данная программа применима ко всем платежным каналам, включая розничные, почтовые/телефонные и электронной коммерции. Сюда входят банки-участники VISA, торгово-сервисные предприятия, сторонние процессоры третьей стороны, поставщики шлюзов и сервисов интернет-платежей и другие сторонние поставщики сервисов, такие как сетевые провайдеры, поставщики средств резервного копирования, компании, обеспечивающие веб-хостинг.
Обязанность банков-участников VISA — обеспечивать соответствие своих торгово-сервисных предприятий и любых других представителей, используемых для обработки платежей.
Программа AIS использует общий для индустрии платежных карт набор инструментов и мер. Участники — торгово-сервисные предприятия и сервис-провайдеры — могут оценить состояние своей безопасности, используя единый процесс проверки для всех компаний, оперирующих пластиковыми картами. Регулятивные нормы программы также позволяют участникам, торгово-сервисным предприятиям и сервис-провайдерам выбрать одного подрядчика и реализовать единый процесс получения соответствия по всем программам безопасности данных платежных карт.
1. Опросные листы самооценки — бесплатный конфиденциальный инструмент, который может использоваться для оценки соответствия платежных систем и расчетов стандарту безопасности данных PCI. Опросный лист разбит на шесть разделов, каждый ориентирован на отдельную область безопасности, основанную на требованиях, включенных в PCI DSS. Участники — торгово-сервисные предприятия и сервис-провайдеры — обязаны заполнить все пункты каждого раздела, чтобы определить соответствие.
2. Процедуры сканирования безопасности описывают директивы для проведения сканирования безопасности сети в соответствии с PCI DSS.
Этот документ предназначен для организаций, которые должны сканировать свою инфраструктуру для подтверждения соответствия стандарту.
3. Процедуры аудита безопасности — документ, используемый для проверки соответствия организаций, которые должны пройти onsite-аудит.
Самооценка. Заполнение листа самооценки может самостоятельно выполняться любой организацией, заинтересованной в соответствии стандарту безопасности данных PCI.
Сканирование и onsite-аудит. Сканирование сети и onsite-аудит должны проводиться квалифицированным аудитором систем безопасности (Qualified Security Assessor).
Действия, которые должны быть выполнены, основываются на числе ежегодно хранимых, обрабатываемых и передаваемых учетных данных VISA. В табл. 2.2 приведен перечень действий, обязательных для выполнения в зависимости от числа транзакций.
Ответственность за определение уровня своих торгово-сервисных предприятий, основываясь на числе и типе обрабатываемых транзакций, возлагается на банки-эквайреры, которые должны уведомить VISA о новых подключенных ТСП уровня 1 и 2 ежегодно. Определение уровня ТСП основывается на общем объеме транзакций, проведенных в стране или через одного эквайрера в течение года. Объемы транзакций от независимых сущностей ТСП (например, действующих по франшизе или лицензии) могут быть исключены из учитываемого объема в случае, если они не управляются рассматриваемым ТСП.