Приведение в соответствие требованиям

PCI PIN

Стандарт PCI PIN Security Requirements определяет требования к помещениям, оборудованию и процессам обеспечения безопасности PIN-кодов в рамках авторизации.

Применимость требований трактуется системами платежных карт по-разному.

Согласно требованиям платежной системы МИР ему должны соответствовать все участники, TPP, а также сервис-провайдеры, которые осуществляют работу с ключевой информацией и ПИН-кодами.

Международная платежная система Visa, которая является разработчиком стандарта, выделяет несколько категорий организаций, которым необходимо соответствовать требованиям PCI PIN Security и проходить сертификационные аудит:

  • VNP (PIN-acquiring third-party Visa Net processor) – организации, имеющие прямое подключение к сети электронных платежей Visa (VisaNet), предоставляющие эквайринговые услуги клиентам Visa,
  • TPS (PIN Acquiring Third-Party Servicers) – организации, оказывающие услуги процессинга платежных карт Visa для других участников Visa,
  • ESO (Encryption and Support Organizations) – организации (сервис-провайдеры), предоставляющие услуги по управлению криптографическими ключами, а также удостоверяющие центры, задействованные в рамках загрузки ключей,
  • Организации, подключающиеся к сети электронных платежей Visa (VisaNet).

Другие платежные системы, как правило, не предъявляют требований по необходимости соответствия PCI PIN Security.

Сертификационные аудиты проводятся раз в два года или однократно для организаций других типов, напрямую подключающихся к сети электронных платежей Visa (VisaNet). Такие аудиты могут проводить только организации, аккредитованные как PCI Qualified PIN Assessor (PCI QPA).

У нашей команды богатый опыт реализации проектов в рамках проектов PIN Security как в России, так и в странах ближнего и дальнего зарубежья.

КАК СТРОИТСЯ ПРОЕКТ

Для успешной сертификации необходимо продемонстрировать соответствие применимым требованиям PCI PIN Security Requirements. Необходимы следующие мероприятия:

1

Определить применимость требований. Применимость зависит от сертифицируемых видов деятельности, а также от нюансов, связанных с реализацией отдельных элементов инфраструктуры, используемых технологий, а также процессов и процедур.

2

Провести предварительную оценку соответствия – понять положение дел в отправной точке для того, чтобы получить точную картину как можно раньше и запланировать необходимые мероприятию по приведению в целевое состояние. Основной целью является подготовка плана приведения в соответствие. Очевидно, что независимая экспертная оценка поможет ничего не упустить из вида, корректно интерпретировать требования и избежать эффекта «замыленного глаза», подготовить оптимальные для конкретной ситуации рекомендации — это то, что делаем мы.

3

Реализовать все мероприятия, определенные в рамках плана приведения в соответствия. На данном этапе необходимо устранить все несоответствия, отработав все пункты плана.

4

Провести сертификационный аудит – это делаем мы как сертифицированный PCI QPA.

5

Устранить выявленные несоответствия, если они будут выявлены, в соответствии с установленной процедурой.

Важно знать

В зависимости от степени готовности процедура сертификации новой площадки занимает не менее полугода, т.е. 6 месяцев. Также на итоговый срок и процедуру сертификации оказывает непосредственное влияние программа сертификации платежной системы, так как аудитор не выдает сертификат о соответствии, а лишь выдает заключение о соответствии требованиям стандарта PCI PIN Security Requirements.

Подготовка к сертификации состоит из предварительной оценки, на основании которой можно подготовить рекомендации и разработать план подготовки к сертификационному аудиту, реализации плана и непосредственно сам сертификационный аудит.

Чем мы можем быть полезны:

Сертификационный аудит, консалтинг, помощь в построении и внедрении процессов и процедур управления ключами.

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    1-5 раб. дней

    Согласование плана проведения аудита

    На этом этапе мы уточняем область оценки, запрашиваем информацию, необходимую для составления четкого плана аудита, формулируем предварительный запрос данных, который поможет сэкономить время и нервы.

  • Этап 2

    2-3 раб. дней

    Проведение аудита на производственной площадке

    Собираем необходимую для оценки выполнения всех применимых требований информацию.

  • Этап 3

    15 раб. дней

    Подготовка отчетной документации

    В соответствии с актуальными методиками и требованиями программ платежных систем разрабатываются отчет в формате PCI PIN ROC и перечень несоответствий (при их наличии) с рекомендациями по их возможному устранению.

  • Этап 4

    Контроль устранения несоответствий (при их наличии)

    Взаимодействуем с заказчиком, оцениваем полноту и корректность предоставленных свидетельств, подтверждающих устранения несоответствий требованиям PCI PIN Security, выявленных в ходе аудита. Максимальный срок устранения несоответствий, установленный Visa, – до 180 календарных дней в соответствии со сроками, установленными Visa. Другими платежными системами аналогичный срок не определен.

    В случае успешного устранения всех выявленных несоответствий выдается заключение о полном соответствии требованиям PCI PIN Security Requirements (в формате AOC).

Почему

нам доверяют:

15+ лет

опытная команда

200+ проектов

ежегодно

45+ стран

география проектов

ОСТАЛИСЬ ВОПРОСЫ?

    О КОМПАНИИ

    ООО “Кард Сек” | Москва, 2-я Хуторская ул., 38А, стр. 9
    Тел: +7 495 120 26 28 | Email: signal@cardsec.ru