Що торговці мають знати про захист безпеки транзакцій

Дізнайтесь, як зберігати, обробляти та передавати платіжні дані безпечно

Усі торговці, які зберігають, обробляють і передають дані про держателів карток, повинні дотримуватися вимог PCI. Кожен торговець 1, 2 або 3 рівня повинен звітувати про стан своєї відповідності вимогам безпосередньо своєму еквайру.

Визначення рівня торговця часто викликає запитання. Masterсard рекомендує торговцям зв'язатися з еквайром і з його допомогою виконати такі кроки:

  • Визначити рівень торговця за допомогою показників обсягу транзакцій по Masterсard за останні 52 тижні.
  • Підтвердити необхідні вимоги перевірки PCI.
  • За необхідності залучити перевіреного підрядника та пройти процедуру валідації.

Щойно торговця було підтверджено на відповідність, він повинен надати вимоги валідації своєму еквайру, який потім повідомлятиме Masterсard про стан відповідності торговця.

Категорія Критерії Вимоги Дати перевірки
1 рівень
  • Будь-який торговець, який постраждав від хакерства чи атаки, у результаті чого постраждали дані рахунку.
  • Будь-який торговець, який має понад шість мільйонів транзакцій по Masterсard та Maestro щорічно.
  • Будь-який торговець, який відповідає 1 рівню за критеріями Visa.
  • Будь-який торговець, якого визначає Masterсard на власний розсуд, повинен відповідати вимогам до торговців 1 рівня, щоб мінімізувати ризик для системи.
  • Річна оцінка об'єкта1
  • Щоквартальне сканування мережі за допомогою ASV2

30.06.20123

2 рівень
  • Будь-який торговець, який має від 1 до 6 мільйонів транзакцій по Masterсard та Maestro щорічно.
  • Будь-який торговець, який відповідає 2 рівню за критеріями Visa.
  • Річна самооцінка4
  • Оцінка об'єкта за рішенням торговця4
  • Щоквартальне сканування мережі за допомогою ASV2

 30.06.20124

3 рівень
  • Будь-який торговець, який має від 20 тисяч до 1 мільйона транзакцій онлайн по Masterсard та Maestro щорічно.
  • Будь-який торговець, який відповідає 3 рівню за критеріями Visa.
  • Річна самооцінка
  • Щоквартальне сканування мережі за допомогою ASV2

30.06.2005

4 рівень
  • Усі інші торговці5
  • Річна самооцінка
  • Щоквартальне сканування мережі за допомогою ASV2

Проконсультуйтесь з еквайром

 

  1. Із 30 червня 2012 року торговці 1 рівня, які проводять щорічну оцінку за допомогою внутрішнього аудитора, повинні гарантувати, що персонал внутрішнього аудиту, залучений до перевірки PCI DSS, відвідує навчання PCI SSC ISA і щорічно проходить відповідну програму акредитації.
  2. Щоквартальне сканування мережі повинно проводитися перевіреним підрядником PCI SSC Approved Scanning Vendor (ASV).
  3. Дата першої перевірки торговців 1 рівня, червень 2005 року, уже не актуальна. 30 червня 2012 року відбулося навчання та сертифікація по PCI SSC ISA для тих торговців, які проводять щорічну оцінку за допомогою внутрішнього аудитора.
  4. З 30 червня 2012 року торговці 2 рівня, які здійснюють перевірку за допомогою щорічної самооцінки за допомогою анкетування, повинні гарантувати, що персонал, задіяний у самооцінці, брав участь у навчанні PCI SSC ISA і пройшов відповідну акредитацію для того, щоб мати можливість і далі проводити щорічну перевірку відповідності. Замість самооцінки торговці 2 рівня можуть обрати здійснення щорічної перевірки відповідності за допомогою затвердженого PCI SSC кваліфікованого експерта з безпеки (Qualified Security Assessor – QSA).
  5. Торговці 4 рівня зобов'язані дотримуватися PCI DSS. Торговці 4 рівня повинні проконсультуватися зі своїм еквайром, щоб визначити, чи потрібна їм перевірка відповідності.

Зрозумійте вимоги до валідації торговців

Перевірка об’єкта або самооцінка

Детальна перевірка PCI SSC кваліфікованим експертом з безпеки (QSA) або сертифікованим внутрішнім аудитором (ISA). Проведення перевірки необхідне для того, щоб переконатися, чи організація обробляє карткові дані відповідно до стандартів безпеки даних платіжних карток (PCI DSS).

Застосовується до торговців 1 та 2 рівнів

Запитання для самооцінки (SAQ)

Інструмент валідації, що головним чином використовується торговцями і постачальниками послуг, не потрібен для оцінки об’єкта за допомогою самооцінки їх відповідності PCI DSS.

Застосовується до торговців 2, 3 та 4 рівнів

Зовнішнє сканування слабких сторін

Сканування слабких сторін, що здійснюється перевіреним PCI SSC підрядником (ASV), усіх компонентів системи з виходом в Інтернет і всіх зв’язків з даними про власників карток.

Застосовується до торгівців усіх рівнів