Сферы применения PCI DSS
Действие стандарта PCI DSS распространяется на все торгово-сервисные предприятия (merchants) и поставщиков услуг (service providers), работающих с международными платежными системами, т.е.
на всех тех, кто передает, обрабатывает и хранит данные держателей карт. В табл. 2.1 проиллюстрированы различные типы данных и требования к ним, которые выдвигает PCI DSS.Также в зависимости от количества обрабатываемых транзакций каждой платежной системой компании присваивается определенный уровень с соответствующим набором требований, которые должны выполняться в обязательном порядке. Это может быть (1) ежегодное прохождение аудита, (2) ежеквартальные сканирования сети или (3) ежегодное заполнение листа самооценки (Self Assessment Questionnaire — специальная анкета, разработанная PCI SSC для самооценки компаний).
Требования Стандарта безопасности данных платежных приложений (PA DSS) являются производными от требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) и Процедур аудита безопасности PCI DSS (PCI DSS Security Audit Procedures).
Эти документы, с которыми можно ознакомиться на сайте PC PCI, содержат подробное описание требований безопасности данных, которые торгово-сервисные предприятия и сервис-провайдеры должны соблюдать для соответствия стандарту PCI DSS (следовательно, какое приложение платежной системы необходимо использовать для обеспечения соответствия этому стандарту)[68].Стандарт PCI DSS обычно не распространяется на производителей приложений платежных систем, поскольку большинство производителей не выполняют хранение, обработку и передачу данных о держателях карт.
Однако поскольку приложения платежных систем используются клиентами для хранения, обработки и передачи данных о держателях карт, а клиенты должны соблюдать требования стандарта PCI DSS, то приложения платежных систем должны соответствовать требованиям стандарта PCI DSS и не нарушать их.Ниже приведены несколько способов использования приложений платежных систем, при которых требования стандарта PCI DSS нарушаются:
•хранение данных магнитной полосы карты в сети клиента после авторизации;
•использование приложений, для корректной работы которых требуется отключение клиентами программного обеспечения, которое должно применяться для соблюдения требований стандарта PCI DSS (например, антивирусных программ или межсетевых экранов);
•использование производителями незащищенных методов подключения к этим приложениям для технической поддержки клиента.
При использовании защищенных приложений платежных систем в среде, соответствующей требованиям стандарта PCI DSS, уменьшается вероятность нарушения безопасности, приводящая к компрометации полных данных магнитной полосы, кодов проверки подлинности карты (CAV2, CID, CVC2, CVV2), ПИН-кодов и ПИН-блоков и, в результате,— к осуществлению злоумышленниками мошеннических операций.
Еще по теме Сферы применения PCI DSS:
- Факты о PCI DSS
- PCI DSS и российская действительность
- PCI DSS = безопасность платежных карт?
- Стандарт PCI DSS
- Стандарты международных платежных систем: PCI DSS и смежные стандарты
- Недостатки и противоречия PCI DSS
- PCI DSS и реальная безопасность платежной системы банковских карт
- PA DSS
- Рассмотрение пространственной сферы действия и применения международных договоров включает также рассмотрение вопроса о значении международного договора для третьих государств.
- PCI PED[74]
- Прочие стандарты PCI
- Понятие и признаки применения норм права. Стадии применения норм права. Акты применения норм права. Классификация актов
- З. Проблемы применения и совершенствования законодательства об условно-досрочном освобояодении от отбывания наказания и практики его применения
- 24.Обеспечительные меры АС (основания, виды, порядок применения). Защита интересов сторон при применении обеспечительных мер.
- Персонал сферы ОИ.
- Описание программы VISA AIS Применимость стандарта безопасности данных PCI в организациях, работающих с VISA
- Бюджет сферы ОИ.
- 67. Стадии применения права. Требование к актам применения права.
- 2. Качественные изменения сферы услуг