Полный комплекс услуг для сертификации по стандарту PCI DSS

Полный комплекс услуг для сертификации по стандарту PCI DSS

Внимание! Русскоязычная версия сайта предназначена для партнёров из Казахстана, Узбекистана, Грузии, Азербайджана, Киргизии. С компаниями из рф мы не сотрудничаем!

Illustration

Штрафы и санкции VISA за невыполнение требований стандарта PCI DSS

В каждой статье мы говорим о том, что требования стандарта PCI DSS необходимо выполнять всем компаниям, которые связаны с индустрией платёжных карт.
А что будет, если не выполнять требования стандарта?
В этой статье мы подробно разберём, какие могут быть последствия за невыполнение требований стандарта PCI DSS.
Международная платежная система VISA выпустила информационный бюллетень, напоминающий компаниям о соблюдении требований программ безопасности «Visa Cardholder Information Security Program (CISP)» и «Account Information Security (AIS)», регламентирующих обязательное прохождение PCI DSS -сертификации.
Этот бюллетень был выпущен 31 июля 2014 года специально для всех компаний, которые являются участниками индустрии платежных карт. К таким компаниям относятся финансовые учреждения, сервис-провайдеры, торгово-сервисные предприятия и пр.
Очень важно отметить следующее: данным информационным бюллетенем VISA поставила в известность всех участников индустрии платежных карт о вводе в действие усиленного Плана соблюдения PCI DSS – соответствия (PCI DSS Enforcement Plan) с 1 января 2015 года.
О чём сказано в этом плане соблюдения PCI DSS?
Согласно данному плану финансовые учреждения (далее – клиенты VISA), подключенные к Международной платежной системе VISA, с 1 января 2015 года должны запрашивать у своих торгово-сервисных предприятий, агентов или сервис-провайдеров документацию (Report on Compliance, Attestation of Compliance, Self-Assessment Questionnaire или План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan)), подтверждающую прохождение данным сервис-провайдером или торгово-сервисным предприятием оценку на соответствие требованиям стандарта PCI DSS.
По сути это подтверждение того, что данный сервис-провайдер или торгово-сервисное предприятие соответствует всем требованиям стандарта PCI DSS. Данная документация должна предоставляться платежной системе VISA.
Но что будет, если предприятия, о которых мы говорили выше не прошли сертификацию и не соответствуют требованиям стандарта PCI DSS?
С 1 января 2015 года согласно требованиям VISA (PCI DSS Enforcement Plan) к сервис-провайдерам и торгово-сервисным предприятиям, не прошедшим оценку и сертификацию на соответствие требованиям стандарта PCI DSS, могут быть применены санкции, включая штрафы.
Давайте более подробно рассмотрим санкции, которые могут быть применены к компаниям, вовремя не подтвердившим соответствие стандарту PCI DSS.
Дни просрочки от 1 до 60:
Компания, присутствующая в Visa Global Registry of Service Providers, будет выделена «желтым» цветом. Это не относится к сервис-провайдерам или торгово-сервисным предприятиям, которым для подтверждения PCI DSS – соответствия требуется заполнение листа уровня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостоятельное заполнение опросного листа).
Клиенты VISA должны уведомить свои торгово-сервисные предприятия, а также своих агентов или сервис-провайдеров о необходимости предоставления им документации, подтверждающей прохождение данным сервис-провайдером или торгово-сервисным предприятием PCI DSS – сертификации или Плана устранения несоответствий требованиям стандарта (Remediation Plan).
Дни просрочки от 61 до 90:
Компания, присутствующая в Visa Global Registry of Service Providers, будет выделена «красным» цветом. Это не относится к сервис-провайдерам или торгово-сервисным предприятиям, которым для подтверждения PCI DSS – соответствия требуется заполнение листа уровня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостоятельное заполнение опросного листа).
Дни просрочки от 91 до 180:
Компания будет удалена из Visa Global Registry of Service Providers. Это не относится к сервис-провайдерам или торгово-сервисным предприятиям, которым для подтверждения PCI DSS – соответствия требуется заполнение листа уровня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостоятельное заполнение опросного листа).
Компании необходимо предоставить своему Банку-эквайеру или Процессинговому центру (клиент VISA) План устранения несоответствий требованиям стандарта (Remediation Plan), заверенный QSA Компанией, с обозначенными сроками прохождения PCI DSS – сертификации для приостановки штрафных санкций.
Если такой План устранения (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции согласно «Account Information Security (AIS) Program noncompliance fines table» к каждому сервис-провайдеру или торгово-сервисному предприятию Банка-эквайера или Процессингового центра.
Дни просрочки от 181 до 270:
Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента Visa.
Дни просрочки от 271 и более:
Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента VISA.
Особое внимание нужно уделить следующему: платежная система VISA может предпринять дополнительные меры, например, меры по снижению рисков, связанные с отсутствием соответствия требованиям стандарта PCI DSS. К таким мерам можно отнести отсоединение от VisaNet или дисквалификацию агента.
Теперь давайте рассмотрим подробно санкции, которые могут быть применены к компаниям, которые никогда не подтверждали PCI DSS – соответствие:
Дни просрочки – 0:
Клиенты VISA, к ним относятся Банки-эквайеры, Процессинговые центры и пр. должны уведомить свои торгово-сервисные предприятия и агентов о том, что они вовремя не подтвердили PCI DSS – соответствие. Также необходимо собрать документацию, подтверждающую прохождение данным сервис-провайдером или торгово-сервисным предприятием PCI DSS -сертификации или внедрение Плана устранения (Remediation Plan) в случае, если в рамках предварительной оценки PCI DSS -соответствия обнаружены несоответствия стандарту.
Дни просрочки от 1 до 30:
Торгово-сервисные предприятия, агенты или сервис-провайдеры должны предоставить на согласование своим Банкам-эквайерам или Процессинговым центрам План устранения (Remediation Plan), заверенный QSA Компанией, с обозначенной датой подтверждения PCI DSS – соответствия. После этого согласования План устранения (Remediation Plan) предоставляется платежной системе VISA. Такими действиями можно избежать штрафных санкций.
Дни просрочки от 31 до 90:
Если План устранения (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA будут применены ежемесячные штрафные санкции согласно «Account Information Security (AIS) Program noncompliance fines table» к каждому к сервис-провайдеру или торгово-сервисному предприятию.
Дни просрочки от 91 до 180:
Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента Visa.
Дни просрочки от 181 и более:
Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента VISA.
Платежная система VISA может предпринять дополнительные меры, например, меры по снижению рисков, связанные с отсутствием соответствия требованиям стандарта PCI DSS, отсоединение от VisaNet или дисквалификацию агента.
Как мы видим, для того, чтобы ваша компания не столкнулась с санкциями от компании VISA, необходимо вовремя пройти сертификацию по стандарту PCI DSS.
Наша компания готова оказать вам содействие в удовлетворении требований VISA, приведении в соответствие и успешном прохождении сертификации PCI DSS вашего бизнеса.
Авторы статьи:Александр Куберский, Игорь Демчук.Компания ІТ Специалист

Остались вопросы?

Заполни форму обратной связи, и наши специалисты предоставят консультацию в ближайшее время.

Спасибо!

Мы свяжемся с вами в скором времени.

Can't send form.

Please try again later.