04.03.2021
В каждой статье мы говорим о том, что требования стандарта PCI DSS необходимо выполнять всем компаниям, которые связаны с индустрией платёжных карт.
А что будет, если не выполнять требования стандарта?
В этой статье мы подробно разберём, какие могут быть последствия за невыполнение требований стандарта PCI DSS.
Международная платежная система VISA выпустила информационный бюллетень, напоминающий компаниям о соблюдении требований программ безопасности «Visa Cardholder Information Security Program (CISP)» и «Account Information Security (AIS)», регламентирующих обязательное прохождение PCI DSS -сертификации.
Этот бюллетень был выпущен 31 июля 2014 года специально для всех компаний, которые являются участниками индустрии платежных карт. К таким компаниям относятся финансовые учреждения, сервис-провайдеры, торгово-сервисные предприятия и пр.
Очень важно отметить следующее: данным информационным бюллетенем VISA поставила в известность всех участников индустрии платежных карт о вводе в действие усиленного Плана соблюдения PCI DSS – соответствия (PCI DSS Enforcement Plan) с 1 января 2015 года.
О чём сказано в этом плане соблюдения PCI DSS?
Согласно данному плану финансовые учреждения (далее – клиенты VISA), подключенные к Международной платежной системе VISA, с 1 января 2015 года должны запрашивать у своих торгово-сервисных предприятий, агентов или сервис-провайдеров документацию (Report on Compliance, Attestation of Compliance, Self-Assessment Questionnaire или План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan)), подтверждающую прохождение данным сервис-провайдером или торгово-сервисным предприятием оценку на соответствие требованиям стандарта PCI DSS.
По сути это подтверждение того, что данный сервис-провайдер или торгово-сервисное предприятие соответствует всем требованиям стандарта PCI DSS. Данная документация должна предоставляться платежной системе VISA.
Но что будет, если предприятия, о которых мы говорили выше не прошли сертификацию и не соответствуют требованиям стандарта PCI DSS?
С 1 января 2015 года согласно требованиям VISA (PCI DSS Enforcement Plan) к сервис-провайдерам и торгово-сервисным предприятиям, не прошедшим оценку и сертификацию на соответствие требованиям стандарта PCI DSS, могут быть применены санкции, включая штрафы.
Давайте более подробно рассмотрим санкции, которые могут быть применены к компаниям, вовремя не подтвердившим соответствие стандарту PCI DSS.
Дни просрочки от 1 до 60:
Компания, присутствующая в Visa Global Registry of Service Providers, будет выделена «желтым» цветом. Это не относится к сервис-провайдерам или торгово-сервисным предприятиям, которым для подтверждения PCI DSS – соответствия требуется заполнение листа уровня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостоятельное заполнение опросного листа).
Клиенты VISA должны уведомить свои торгово-сервисные предприятия, а также своих агентов или сервис-провайдеров о необходимости предоставления им документации, подтверждающей прохождение данным сервис-провайдером или торгово-сервисным предприятием PCI DSS – сертификации или Плана устранения несоответствий требованиям стандарта (Remediation Plan).
Дни просрочки от 61 до 90:
Компания, присутствующая в Visa Global Registry of Service Providers, будет выделена «красным» цветом. Это не относится к сервис-провайдерам или торгово-сервисным предприятиям, которым для подтверждения PCI DSS – соответствия требуется заполнение листа уровня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостоятельное заполнение опросного листа).
Дни просрочки от 91 до 180:
Компания будет удалена из Visa Global Registry of Service Providers. Это не относится к сервис-провайдерам или торгово-сервисным предприятиям, которым для подтверждения PCI DSS – соответствия требуется заполнение листа уровня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостоятельное заполнение опросного листа).
Компании необходимо предоставить своему Банку-эквайеру или Процессинговому центру (клиент VISA) План устранения несоответствий требованиям стандарта (Remediation Plan), заверенный QSA Компанией, с обозначенными сроками прохождения PCI DSS – сертификации для приостановки штрафных санкций.
Если такой План устранения (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции согласно «Account Information Security (AIS) Program noncompliance fines table» к каждому сервис-провайдеру или торгово-сервисному предприятию Банка-эквайера или Процессингового центра.
Дни просрочки от 181 до 270:
Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента Visa.
Дни просрочки от 271 и более:
Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента VISA.
Особое внимание нужно уделить следующему: платежная система VISA может предпринять дополнительные меры, например, меры по снижению рисков, связанные с отсутствием соответствия требованиям стандарта PCI DSS. К таким мерам можно отнести отсоединение от VisaNet или дисквалификацию агента.
Теперь давайте рассмотрим подробно санкции, которые могут быть применены к компаниям, которые никогда не подтверждали PCI DSS – соответствие:
Дни просрочки – 0:
Клиенты VISA, к ним относятся Банки-эквайеры, Процессинговые центры и пр. должны уведомить свои торгово-сервисные предприятия и агентов о том, что они вовремя не подтвердили PCI DSS – соответствие. Также необходимо собрать документацию, подтверждающую прохождение данным сервис-провайдером или торгово-сервисным предприятием PCI DSS -сертификации или внедрение Плана устранения (Remediation Plan) в случае, если в рамках предварительной оценки PCI DSS -соответствия обнаружены несоответствия стандарту.
Дни просрочки от 1 до 30:
Торгово-сервисные предприятия, агенты или сервис-провайдеры должны предоставить на согласование своим Банкам-эквайерам или Процессинговым центрам План устранения (Remediation Plan), заверенный QSA Компанией, с обозначенной датой подтверждения PCI DSS – соответствия. После этого согласования План устранения (Remediation Plan) предоставляется платежной системе VISA. Такими действиями можно избежать штрафных санкций.
Дни просрочки от 31 до 90:
Если План устранения (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA будут применены ежемесячные штрафные санкции согласно «Account Information Security (AIS) Program noncompliance fines table» к каждому к сервис-провайдеру или торгово-сервисному предприятию.
Дни просрочки от 91 до 180:
Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента Visa.
Дни просрочки от 181 и более:
Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента VISA.
Платежная система VISA может предпринять дополнительные меры, например, меры по снижению рисков, связанные с отсутствием соответствия требованиям стандарта PCI DSS, отсоединение от VisaNet или дисквалификацию агента.
Как мы видим, для того, чтобы ваша компания не столкнулась с санкциями от компании VISA, необходимо вовремя пройти сертификацию по стандарту PCI DSS.
Наша компания готова оказать вам содействие в удовлетворении требований VISA, приведении в соответствие и успешном прохождении сертификации PCI DSS вашего бизнеса.
Авторы статьи:Александр Куберский, Игорь Демчук.Компания ІТ Специалист