04.03.2021
W każdym artykule mówimy o tym, że wymagania standardu PCI DSS muszą być spełnione przez wszystkie firmy związane z branżą kart płatniczych.
A co się stanie, jeśli nie spełnimy wymagań standardu?
W tym artykule szczegółowo omówimy, jakie mogą być konsekwencje niespełnienia wymagań standardu PCI DSS.
Międzynarodowy system płatniczy VISA wydał biuletyn informacyjny, przypominający firmom o konieczności przestrzegania wymagań programów bezpieczeństwa „Visa Cardholder Information Security Program (CISP)” i „Account Information Security (AIS)”, które regulują obowiązkową certyfikację PCI DSS.
Ten biuletyn został wydany 31 lipca 2014 roku specjalnie dla wszystkich firm będących uczestnikami branży kart płatniczych. Do takich firm należą instytucje finansowe, dostawcy usług, przedsiębiorstwa handlowo-usługowe, itp.
Bardzo ważne jest zaznaczyć, że tym biuletynem informacyjnym VISA poinformowała wszystkich uczestników branży kart płatniczych o wprowadzeniu w życie zwiększonego Planu Egzekwowania Zgodności z PCI DSS (PCI DSS Enforcement Plan) od 1 stycznia 2015 roku.
Co jest powiedziane w tym planie przestrzegania PCI DSS?
Zgodnie z tym planem, instytucje finansowe (dalej zwane klientami VISA), podłączone do Międzynarodowego Systemu Płatniczego VISA, od 1 stycznia 2015 roku są zobowiązane żądać od swoich przedsiębiorstw handlowo-usługowych, agentów lub dostawców usług dostarczenia dokumentacji (Report on Compliance, Attestation of Compliance, Self-Assessment Questionnaire lub Plan Remediacji braków w dostosowaniu do wymagań standardu PCI DSS), potwierdzającej, że dany dostawca usług lub przedsiębiorstwo handlowo-usługowe przeszło ocenę zgodności z wymaganiami standardu PCI DSS.
To w zasadzie potwierdzenie, że dany dostawca usług lub przedsiębiorstwo handlowo-usługowe spełnia wszystkie wymagania standardu PCI DSS. Ta dokumentacja musi być udostępniona systemowi płatniczemu VISA.
Ale co się stanie, jeśli przedsiębiorstwa, o których mówiliśmy wcześniej, nie przeszły certyfikacji i nie spełniają wymagań standardu PCI DSS?
Od 1 stycznia 2015 roku zgodnie z wymogami VISA (PCI DSS Enforcement Plan) wobec dostawców usług i przedsiębiorstw handlowo-usługowych, które nie przeszły oceny i certyfikacji zgodności z wymaganiami standardu PCI DSS, mogą być stosowane sankcje, w tym grzywny.
Przeanalizujmy bardziej szczegółowo sankcje, które mogą być nałożone na przedsiębiorstwa, które nie potwierdziły zgodności ze standardem PCI DSS.
Dni przeterminowania od 1 do 60 po terminie:
Firma obecna w Rejestrze Globalnych Dostawców Visa będzie oznaczona kolorem "żółtym". Nie dotyczy to dostawców usług ani przedsiębiorstw obsługujących handel, dla których wypełnienie formularza na poziomie „D” - „Kwestionariusz Samooceny (SAQ) D” jest wymagane do potwierdzenia zgodności z normą PCI DSS.
Klienci VISA muszą poinformować swoje przedsiębiorstwa obsługujące handel, a także swoich agentów lub dostawców usług o konieczności dostarczenia im dokumentacji potwierdzającej, że ci dostawcy usług lub przedsiębiorstwa obsługujące handel przeszły certyfikację PCI DSS lub posiadają Plan Utrzymania Zgodności z wymaganiami normy (Remediation Plan).
Dni przeterminowania od 61 do 90 po terminie:
Firma obecna w Rejestrze Globalnych Dostawców Visa będzie oznaczona kolorem "czerwonym". Nie dotyczy to dostawców usług ani przedsiębiorstw obsługujących handel, dla których wypełnienie formularza na poziomie „D” - „Kwestionariusz Samooceny (SAQ) D” jest wymagane do potwierdzenia zgodności z normą PCI DSS.
Dni przeterminowania od 91 do 180 po terminie:
Firma zostanie usunięta z Rejestru Globalnych Dostawców Visa. Nie dotyczy to dostawców usług ani przedsiębiorstw obsługujących handel, dla których wypełnienie formularza na poziomie „D” - „Kwestionariusz Samooceny (SAQ) D” jest wymagane do potwierdzenia zgodności z normą PCI DSS.
Firmy muszą dostarczyć swojemu bankowi akwajrowi lub centrum przetwarzania (klientowi VISA) Plan Utrzymania Zgodności z wymaganiami normy (Remediation Plan), potwierdzony przez QSA Company, z zaznaczonymi terminami przejścia certyfikacji PCI DSS, aby uniknąć kar sankcyjnych.
Jeśli taki Plan Utrzymania (Remediation Plan) nie zostanie dostarczony lub nie zostanie zaakceptowany przez bank akwajra lub centrum przetwarzania, system płatniczy VISA może nałożyć miesięczne kary zgodnie z tabelą kar za niezgodność z programem AIS (Account Information Security) na każdego dostawcę usług lub przedsiębiorstwo obsługujące handel w banku akwajrze lub centrum przetwarzania.
Dni przeterminowania od 181 do 270 po terminie:
Jeżeli Plan Utrzymania Zgodności z wymaganiami normy PCI DSS (Remediation Plan) nie zostanie dostarczony lub nie zostanie zaakceptowany przez bank akwajra lub centrum przetwarzania, system płatniczy VISA może nałożyć miesięczne kary sankcyjne na każdego klienta głównego banku Visa.
Dni przeterminowania od 271 i więcej:
Jeżeli Plan Utrzymania Zgodności z wymaganiami normy PCI DSS (Remediation Plan) nie zostanie dostarczony lub nie zostanie zaakceptowany przez bank akwajra lub centrum przetwarzania, system płatniczy VISA może nałożyć miesięczne kary sankcyjne na każdego klienta głównego banku Visa.
Należy zwrócić szczególną uwagę na to, że system płatniczy VISA może podjąć dodatkowe kroki, takie jak środki zmniejszenia ryzyka związanego z brakiem zgodności z wymaganiami normy PCI DSS. Do tych kroków może należeć odłączenie od VisaNet lub dyskwalifikacja agenta.
Teraz przejdźmy do szczegółowego omówienia sankcji, które mogą być stosowane wobec firm, które nigdy nie potwierdzały zgodności z PCI DSS:
Dni przeterminowania – 0:
Klienci VISA, w tym banki akwajra, centra przetwarzania, itp., muszą poinformować swoje przedsiębiorstwa handlowo-usługowe i agentów o tym, że nie potwierdzili oni zgodności z normą PCI DSS w odpowiednim czasie. Należy również zebrać dokumentację potwierdzającą, że dany dostawca usług lub przedsiębiorstwo handlowo-usługowe uzyskały certyfikację PCI DSS lub wdrożyły Plan Utrzymania Zgodności (Remediation Plan), jeśli w ramach wcześniejszej oceny zgodności z PCI DSS stwierdzono niezgodności.
Dni przeterminowania od 1 do 30:
Przedsiębiorstwa handlowo-usługowe, agenci lub dostawcy usług muszą dostarczyć do akceptacji swoim bankom akwajra lub centrą przetwarzania Plan Utrzymania Zgodności (Remediation Plan), zweryfikowany przez firmę QSA z oznaczoną datą potwierdzenia zgodności z PCI DSS. Po uzgodnieniu Planu Utrzymania Zgodności (Remediation Plan) jest przesyłany do systemu płatniczego VISA. Te działania pozwalają uniknąć kar sankcyjnych.
Dni przeterminowania od 31 do 90:
Jeśli Plan Utrzymania Zgodności (Remediation Plan) nie zostanie dostarczony lub nie zostanie zaakceptowany przez bank akwajra lub centrum przetwarzania, system płatniczy VISA nałoży miesięczne kary zgodnie z "Tabelą kar za niezgodność z programem bezpieczeństwa informacji o koncie (AIS)" na każdego dostawcę usług lub przedsiębiorstwo handlowo-usługowe.
Dni przeterminowania od 91 do 180:
Jeśli Plan Utrzymania Zgodności z wymaganiami normy PCI DSS (Remediation Plan) nie zostanie dostarczony lub nie zostanie zaakceptowany przez bank akwajra lub centrum przetwarzania, system płatniczy VISA może nałożyć miesięczne kary na każdego klienta Visa Principal Bank.
Dni przeterminowania od 181 i więcej:
Jeśli Plan Utrzymania Zgodności z wymaganiami normy PCI DSS (Remediation Plan) nie zostanie dostarczony lub nie zostanie zaakceptowany przez bank akwajra lub centrum przetwarzania, system płatniczy VISA może nałożyć miesięczne kary na każdego klienta Visa Principal Bank.
System płatniczy VISA może podjąć dodatkowe kroki, takie jak środki mające na celu zmniejszenie ryzyka związanego z brakiem zgodności z wymaganiami normy PCI DSS, odłączenie od VisaNet lub dyskwalifikacja agenta.
Jak widzimy, aby uniknąć sankcji od firmy VISA, konieczne jest przeprowadzenie certyfikacji zgodności z normą PCI DSS w terminie.
Nasza firma jest gotowa wspomóc Państwa w spełnieniu wymagań VISA, dostosowaniu się i pomyślnym przejściu certyfikacji PCI DSS dla Państwa biznesu.