04.03.2021
У кожній статті ми говоримо про те, що вимоги стандарту PCI DSS необхідно виконувати всім компаніям, які пов’язані з індустрією платіжних карт.
А що буде, якщо не виконувати вимоги стандарту?
У цій статті ми детально розберемо, які можуть бути наслідки за невиконання вимог стандарту PCI DSS.
Міжнародна платіжна система VISA випустила інформаційний бюлетень, що нагадує компаніям про дотримання вимог програм безпеки «Visa Cardholder Information Security Program (CISP)» і «Account Information Security (AIS)», що регламентують обов’язкове проходження сертифікації PCI DSS.
Цей бюлетень було випущено 31 липня 2014 року спеціально для всіх компаній, які є учасниками індустрії платіжних карт. До таких компаній відносяться фінансові установи, сервіс-провайдери, торгово-сервісні підприємства тощо.
Дуже важливо відзначити наступне: даним інформаційним бюлетенем VISA поставила до відома всіх учасників індустрії платіжних карт про введення в дію посиленого Плану дотримання відповідності PCI DSS (PCI DSS Enforcement Plan) з 1 січня 2015 року.
Про що сказано в цьому плані дотримання PCI DSS?
Згідно з цим планом, фінансові установи (далі – клієнти VISA), підключені до Міжнародної платіжної системи VISA, з 1 січня 2015 року мають запитувати у своїх торгово-сервісних підприємств, агентів або сервіс-провайдерів документацію (Report on Compliance, Attestation of Compliance, Self- Assessment Questionnaire або План усунення невідповідностей вимогам стандарту PCI DSS (Remediation Plan)), що підтверджує проходження даним сервіс-провайдером або торгово-сервісним підприємством оцінку на відповідність вимогам стандарту PCI DSS.
По суті це підтвердження того, що даний сервіс-провайдер або торгово-сервісне підприємство відповідає всім вимогам стандарту PCI DSS. Дана документація повинна надаватися платіжній системі VISA.
Але що буде, якщо підприємства, про які ми говорили вище не пройшли сертифікацію і не відповідають вимогам стандарту PCI DSS?
З 1 січня 2015 року згідно з вимогами VISA (PCI DSS Enforcement Plan) до сервіс-провайдерів і торгово-сервісних підприємств, що не пройшли оцінку та сертифікацію на відповідність вимогам стандарту PCI DSS, можуть бути застосовані санкції, включаючи штрафи.
Давайте більш детально розглянемо санкції, які можуть бути застосовані до компаній, що вчасно не підтвердили відповідність стандарту PCI DSS.
Дні прострочення від 1 до 60:
Компанія, яка присутня в Visa Global Registry of Service Providers, буде виділена «жовтим» кольором. Це не відноситься до сервіс-провайдерів або торгово-сервісних підприємств, яким для підтвердження відповідності стандарту PCI DSS вимагається заповнення листа рівня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостійне заповнення опитувального листа).
Клієнти VISA повинні повідомити свої торгово-сервісні підприємства, а також своїх агентів або сервіс-провайдерів про необхідність надання їм документації, яка підтверджує проходження даними сервіс-провайдерами або торгово-сервісними підприємствами PCI DSS сертифікації або Плану усунення невідповідностей вимогам стандарту (Remediation Plan).
Дні прострочення від 61 до 90:
Компанія, яка присутня в Visa Global Registry of Service Providers, буде виділена «червоним» кольором. Це не відноситься до сервіс-провайдерів або торгово-сервісних підприємств, яким для підтвердження відповідності стандарту PCI DSS вимагається заповнення листа рівня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостійне заповнення опитувального листа).
Дні прострочення від 91 до 180:
Компанія буде видалена з Visa Global Registry of Service Providers. Це не відноситься до сервіс-провайдерів або торгово-сервісних підприємств, яким для підтвердження відповідності стандарту PCI DSS вимагається заповнення листа рівня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостійне заповнення опитувального листа).
Компанії необхідно надати своєму Банку-еквайєру чи Процесинговому центру (клієнт VISA) План усунення невідповідностей вимогам стандарту (Remediation Plan), завірений QSA Компанією, з позначеними термінами проходження PCI DSS сертифікації для припинення штрафних санкцій.
Якщо такий План усунення (Remediation Plan) не надано або не прийнятий Банком-еквайєром чи Процесинговим центром, платіжною системою VISA можуть бути застосовані щомісячні штрафні санкції згідно «Account Information Security (AIS) Program noncompliance fines table» до кожного сервіс-провайдера або торгово-сервісного підприємства Банку-еквайра або Процесингового центру.
Дні прострочення від 181 до 270:
Якщо План усунення невідповідностей вимогам стандарту PCI DSS (Remediation Plan) не надано або не прийнятий Банком-еквайєром чи Процесинговим центром, платіжною системою VISA можуть бути застосовані щомісячні штрафні санкції до кожного Visa Principal Bank клієнта Visa.
Дні прострочення від 271 і більше:
Якщо План усунення невідповідностей вимогам стандарту PCI DSS (Remediation Plan) не надано або не прийнятий Банком-еквайєром чи Процесинговим центром, платіжною системою VISA можуть бути застосовані щомісячні штрафні санкції до кожного Visa Principal Bank клієнта VISA.
Особливу увагу потрібно приділити наступному: платіжна система VISA може вжити додаткових заходів, наприклад, заходи щодо зниження ризиків, пов’язані з відсутністю відповідності вимогам стандарту PCI DSS. До таких заходів можна віднести від’єднання від VisaNet або дискваліфікацію агента.
Тепер давайте розглянемо докладно санкції, які можуть бути застосовані до компаній, які ніколи не підтверджували PCI DSS – відповідність:
Дні прострочення – 0:
Клієнти VISA, до них відносяться Банки-еквайєри, процесингові центри тощо, повинні повідомити свої торгово-сервісні підприємства і агентів про те, що вони вчасно не підтвердили відповідність стандарту PCI DSS. Також необхідно зібрати документацію, що підтверджує проходження даним сервіс-провайдером або торгово-сервісним підприємством сертифікації PCI DSS або впровадження Плану усунення невідповідностей (Remediation Plan) в разі, якщо в рамках попередньої оцінки на відповідність PCI DSS виявлені невідповідності стандарту.
Дні прострочення від 1 до 30:
Торгово-сервісні підприємства, агенти або сервіс-провайдери повинні надати на узгодження своїм Банкам-еквайєрам або процесинговим центрам План усунення (Remediation Plan), завірений QSA Компанією, з позначеної датою підтвердження відповідності PCI DSS. Після цього узгодження План усунення невідповідностей (Remediation Plan) надається платіжній системі VISA. Такими діями можна уникнути штрафних санкцій.
Дні прострочення від 31 до 90:
Якщо План усунення (Remediation Plan) не надано або не прийнятий Банком-еквайєром чи процесинговим центром, платіжною системою VISA будуть застосовані щомісячні штрафні санкції згідно «Account Information Security (AIS) Program noncompliance fines table» до кожного до сервіс-провайдеру або торгово-сервісного підприємства.
Дні прострочення від 91 до 180:
Якщо План усунення невідповідностей вимогам стандарту PCI DSS (Remediation Plan) не надано або не прийнятий Банком-еквайєром чи процесинговим центром, платіжною системою VISA можуть бути застосовані щомісячні штрафні санкції до кожного клієнта Visa Principal Bank.
Дні прострочення від 181 і більше:
Якщо План усунення невідповідностей вимогам стандарту PCI DSS (Remediation Plan) не надано або не прийнятий Банком-еквайєром чи процесинговим центром, платіжною системою VISA можуть бути застосовані щомісячні штрафні санкції до кожного клієнта Visa Principal Bank.
Платіжна система VISA може вжити додаткових заходів, наприклад, заходи щодо зниження ризиків, пов’язані з відсутністю відповідності вимогам стандарту PCI DSS, від’єднання від VisaNet або дискваліфікацію агента.
Як ми бачимо, для того, щоб ваша компанія не зіткнулася з санкціями від компанії VISA, необхідно вчасно пройти сертифікацію на відповідність стандарту PCI DSS.
Наша компанія готова надати вам сприяння в задоволенні вимог VISA, приведення у відповідність і успішне проходження сертифікації PCI DSS вашого бізнесу.