Общий обзор того, как уровни соответствия действуют в мире PCI, можно найти в моей предыдущей статье об уровнях соответствия для продавцов. Как и в случае с торговцами, Совет по стандартам безопасности PCI не имеет ничего общего с определением уровней поставщиков услуг - все это осуществляется отдельными брендами карт. Также, как и в случае с торговцами, существуют значительные различия между брендами карт в том, как они определяют эти уровни.
Поставщики услуг - это что-то вроде особого случая в мире PCI, поскольку почти по определению они занимаются предоставлением услуг нескольким предприятиям, совместимым с PCI. Это представляет собой другой профиль риска по сравнению с торговцами, и, следовательно, некоторые другие требования к соблюдению и проверке.
Что такое поставщики услуг PCI?
Мир PCI в основном делится на две группы: продавцы и поставщики услуг. Если ваш бизнес обрабатывает данные о держателях карт PCI (CHD) или делает что-то, что влияет на безопасность среды данных о держателях карт (CDE), и вы не являетесь продавцом, то вы поставщик услуг.
Имейте в виду, что можно быть как продавцом, так и поставщиком услуг. Это усложняет ситуацию и может привести к спорам, поскольку некоторые организации предпочитают, чтобы их считали только торговцами.
Ниже приводится не исчерпывающий список типов поставщиков услуг, но он показывает диапазон компаний, которые могут оказаться классифицированными как поставщики услуг:
Работа с поставщиками услуг
Компании, которые должны соответствовать требованиям PCI DSS, регулярно используют поставщиков услуг в своей повседневной деятельности. Что касается бизнес-операций, которые не входят в сферу действия стандарта PCI DSS, вы можете продолжать в обычном режиме и не задумываться о PCI. Но если предоставляемые услуги попадают в сферу действия стандарта PCI DSS, вам необходимо тщательно рассмотреть последствия использования поставщика услуг по сравнению с выполнением работы самостоятельно.
При выборе поставщика услуг, входящих в объем, вам нужно очень внимательно изучить покрываемые услуги. Например, поставщик услуг совместного размещения с поставщиком услуг PCI AOC почти наверняка будет оценен на предмет их физической безопасности. Однако они могут также предлагать дополнительные услуги в качестве дополнительных услуг, такие как управление брандмауэром. Прежде чем компания, соответствующая стандарту PCI, сможет воспользоваться этой службой управления межсетевым экраном, ей необходимо убедиться, что конкретная служба включена в область действия AOC.
Это является возможным использование услуг от поставщика услуг, которые не подпадают под AOC этого провайдера. Однако на этом этапе вы берете на себя ответственность за обеспечение того, чтобы поставщик работал с этой услугой в соответствии с требованиями. Его необходимо будет включить в ваш обзор PCI, если они не могут или не хотят расширять сферу своей оценки. Таким образом, по возможности лучше избегать этой ситуации.
Чем по-разному относятся к поставщикам услуг и продавцам?
Есть два основных способа, которыми к поставщикам услуг относятся иначе, чем к продавцам:
Поскольку эти требования существуют только при наличии нескольких клиентов, разумно, чтобы они применялись только к поставщикам услуг.
Ко второму пункту: поставщикам услуг предоставляется меньше возможностей для самооценки из-за характера их бизнеса. Поставщики услуг контактируют с данными о держателях карт из нескольких источников, и их бизнес обычно строится на точках интеграции и потоках данных.
Риски, возникающие из-за нарушения со стороны поставщика услуг, считаются значительно более высокими. Это обусловлено как повышенной вероятностью взлома из-за точек интеграции, так и увеличением уязвимости от взлома из-за различных наборов обрабатываемых Данных о держателях карт.
Как бренды карт управляют рисками поставщиков услуг
Для большинства брендов карт порог для прохождения полной проверки на месте намного ниже. Mastercard и Visa позволяют продавцам обрабатывать 6 миллионов транзакций в год, прежде чем потребуется оценка на месте; для поставщиков услуг такой же лимит составляет всего 300 000 транзакций.
Для продавца некоторые бренды карт позволяют проводить оценку на месте с помощью ISA или даже кого-то, вообще не имеющего квалификации PCI, а не стороннего QSA. Поставщики услуг не имеют такого выбора, и большинство основных брендов карт требуют, чтобы их оценка на месте проводилась QSA.
Уровни соответствия по бренду карты
Как и в случае с торговцами, уровень поставщика услуг определяется правилами, установленными каждой торговой маркой карты. В этом отношении от Совета по стандартам безопасности PCI нет общих правил.
Каждый бренд карты публикует правила, определяющие, на каком уровне следует рассматривать поставщика услуг. Для некоторых брендов карт этот уровень определяется исключительно общими объемами транзакций; для других правила также учитывают типы услуг, предлагаемых поставщиком. В частности, Mastercard имеет значительное количество различных типов провайдеров, перечисленных в их разбивке, некоторые из которых автоматически относятся к уровню 1, даже если у них есть тривиально небольшой годовой объем транзакций.
Если вы посмотрите на уровни торговца, вы увидите, что существует от 2 до 4 уровней, на которые торговец может быть отнесен, в зависимости от марки карты. Хотя между брендами карт существуют существенные различия в определении уровней поставщиков услуг, все они согласны с тем, что существует всего два уровня.
После определения уровня существуют определенные требования к оценке и отчетности, устанавливаемые каждым брендом для поставщиков услуг каждого уровня. Эти требования изложены в следующем разделе ниже. Здесь мы перечисляем правила, используемые для определения уровня поставщика услуг:
Требования к оценке и отчетности по бренду карты
Как указывалось ранее, требования к оценке и отчетности для поставщиков услуг определяются их уровнем. Поскольку существует только два уровня, поставщикам услуг доступны в основном два варианта: либо провести аудит на месте с помощью QSA, либо заполнить анкету для самооценки.
Если требуется аудит на месте, то, в отличие от продавцов, он должен проводиться QSA. Невозможно поручить внутреннему сотруднику выполнять эту обязанность по отношению к поставщикам услуг.
В случае SAQ это будет SAQ D Service Provider , поскольку это единственный SAQ, нацеленный на поставщиков услуг.
Примечание. В настоящее время JCB заявляет, что эквайеры и эмитенты должны соблюдать PCI DSS независимо от объема, но отказываются сообщить, каковы процедуры проверки.
Сайты брендов карт
Все бренды карт публикуют общедоступную информацию о своих программах информационной безопасности. В них описывается, как продавцы и поставщики услуг распределяются по различным уровням, а также каковы требования к оценке для организаций на каждом уровне.
Mastercard и Visa также публикуют списки поставщиков услуг уровня 1, которые успешно прошли оценку на месте. Они публикуются, чтобы помочь продавцам и другим лицам выбирать соответствующих поставщиков услуг при создании среды обработки карт.
В настоящее время нам неизвестны реестры поставщиков аналогичных услуг для American Express, Discover и JCB. Если вам известно о наличии общедоступной ссылки на такой реестр, напишите нам, чтобы мы могли просмотреть и соответствующим образом обновить таблицу.
Поставщики услуг - это что-то вроде особого случая в мире PCI, поскольку почти по определению они занимаются предоставлением услуг нескольким предприятиям, совместимым с PCI. Это представляет собой другой профиль риска по сравнению с торговцами, и, следовательно, некоторые другие требования к соблюдению и проверке.
Что такое поставщики услуг PCI?
Мир PCI в основном делится на две группы: продавцы и поставщики услуг. Если ваш бизнес обрабатывает данные о держателях карт PCI (CHD) или делает что-то, что влияет на безопасность среды данных о держателях карт (CDE), и вы не являетесь продавцом, то вы поставщик услуг.
Имейте в виду, что можно быть как продавцом, так и поставщиком услуг. Это усложняет ситуацию и может привести к спорам, поскольку некоторые организации предпочитают, чтобы их считали только торговцами.
Ниже приводится не исчерпывающий список типов поставщиков услуг, но он показывает диапазон компаний, которые могут оказаться классифицированными как поставщики услуг:
- Покупатели
- Сторонние процессоры (TPP)
- 3-доменная безопасность (3DS)
- Услуги токенизации
- Провайдеры колокации (для физической безопасности)
Работа с поставщиками услуг
Компании, которые должны соответствовать требованиям PCI DSS, регулярно используют поставщиков услуг в своей повседневной деятельности. Что касается бизнес-операций, которые не входят в сферу действия стандарта PCI DSS, вы можете продолжать в обычном режиме и не задумываться о PCI. Но если предоставляемые услуги попадают в сферу действия стандарта PCI DSS, вам необходимо тщательно рассмотреть последствия использования поставщика услуг по сравнению с выполнением работы самостоятельно.
При выборе поставщика услуг, входящих в объем, вам нужно очень внимательно изучить покрываемые услуги. Например, поставщик услуг совместного размещения с поставщиком услуг PCI AOC почти наверняка будет оценен на предмет их физической безопасности. Однако они могут также предлагать дополнительные услуги в качестве дополнительных услуг, такие как управление брандмауэром. Прежде чем компания, соответствующая стандарту PCI, сможет воспользоваться этой службой управления межсетевым экраном, ей необходимо убедиться, что конкретная служба включена в область действия AOC.
Это является возможным использование услуг от поставщика услуг, которые не подпадают под AOC этого провайдера. Однако на этом этапе вы берете на себя ответственность за обеспечение того, чтобы поставщик работал с этой услугой в соответствии с требованиями. Его необходимо будет включить в ваш обзор PCI, если они не могут или не хотят расширять сферу своей оценки. Таким образом, по возможности лучше избегать этой ситуации.
Чем по-разному относятся к поставщикам услуг и продавцам?
Есть два основных способа, которыми к поставщикам услуг относятся иначе, чем к продавцам:
- у них есть некоторые дополнительные требования, которым они подчиняются
- у них меньше возможностей для самооценки
Поскольку эти требования существуют только при наличии нескольких клиентов, разумно, чтобы они применялись только к поставщикам услуг.
Ко второму пункту: поставщикам услуг предоставляется меньше возможностей для самооценки из-за характера их бизнеса. Поставщики услуг контактируют с данными о держателях карт из нескольких источников, и их бизнес обычно строится на точках интеграции и потоках данных.
Риски, возникающие из-за нарушения со стороны поставщика услуг, считаются значительно более высокими. Это обусловлено как повышенной вероятностью взлома из-за точек интеграции, так и увеличением уязвимости от взлома из-за различных наборов обрабатываемых Данных о держателях карт.
Как бренды карт управляют рисками поставщиков услуг
Для большинства брендов карт порог для прохождения полной проверки на месте намного ниже. Mastercard и Visa позволяют продавцам обрабатывать 6 миллионов транзакций в год, прежде чем потребуется оценка на месте; для поставщиков услуг такой же лимит составляет всего 300 000 транзакций.
Для продавца некоторые бренды карт позволяют проводить оценку на месте с помощью ISA или даже кого-то, вообще не имеющего квалификации PCI, а не стороннего QSA. Поставщики услуг не имеют такого выбора, и большинство основных брендов карт требуют, чтобы их оценка на месте проводилась QSA.
Уровни соответствия по бренду карты
Как и в случае с торговцами, уровень поставщика услуг определяется правилами, установленными каждой торговой маркой карты. В этом отношении от Совета по стандартам безопасности PCI нет общих правил.
Каждый бренд карты публикует правила, определяющие, на каком уровне следует рассматривать поставщика услуг. Для некоторых брендов карт этот уровень определяется исключительно общими объемами транзакций; для других правила также учитывают типы услуг, предлагаемых поставщиком. В частности, Mastercard имеет значительное количество различных типов провайдеров, перечисленных в их разбивке, некоторые из которых автоматически относятся к уровню 1, даже если у них есть тривиально небольшой годовой объем транзакций.
Если вы посмотрите на уровни торговца, вы увидите, что существует от 2 до 4 уровней, на которые торговец может быть отнесен, в зависимости от марки карты. Хотя между брендами карт существуют существенные различия в определении уровней поставщиков услуг, все они согласны с тем, что существует всего два уровня.
После определения уровня существуют определенные требования к оценке и отчетности, устанавливаемые каждым брендом для поставщиков услуг каждого уровня. Эти требования изложены в следующем разделе ниже. Здесь мы перечисляем правила, используемые для определения уровня поставщика услуг:
| Уровень | American Express | Обнаружить | JCB | Mastercard | Visa |
|---|---|---|---|---|---|
| 1 | Обработка более 2,5 миллионов транзакций по картам American Express в год или любого поставщика услуг, который American Express считает уровнем 1. | Все поставщики услуг, которые хранят, обрабатывают и / или передают более 300 000 транзакций по картам Discover в год. Любой поставщик услуг, который Discover считает уровнем 1. | Сторонние процессоры, обрабатывающие один миллион или более транзакций в год. | Все сторонние процессоры (TPP) Все операторы поэтапного цифрового кошелька (SDWO) Все поставщики услуг цифровой деятельности (DASP) Все поставщики услуг токена (TSP) Все поставщики услуг 3-D Secure (3-DSSP) Все объекты хранения данных (DSE) и Платежные посредники (ПФ) с более чем 300 000 совмещенных транзакций Mastercard и Maestro ежегодно | Процессоры VisaNet или любой поставщик услуг, который хранит, обрабатывает и / или передает более 300 000 транзакций в год. |
| 2 | Ежегодно обрабатывается менее 2,5 миллионов транзакций American Express. | Все поставщики услуг, которые хранят, обрабатывают и / или передают менее 300 000 транзакций по картам Discover в год. | Сторонние процессоры, обрабатывающие менее миллиона транзакций в год. | Все DSE и PF с суммой не более 300000 комбинированных транзакций Mastercard и Maestro ежегодно Все терминальные сервисные центры (TS) | Процессоры VisaNet или любой поставщик услуг, который хранит, обрабатывает и / или передает менее 300 000 транзакций в год. |
Требования к оценке и отчетности по бренду карты
Как указывалось ранее, требования к оценке и отчетности для поставщиков услуг определяются их уровнем. Поскольку существует только два уровня, поставщикам услуг доступны в основном два варианта: либо провести аудит на месте с помощью QSA, либо заполнить анкету для самооценки.
Если требуется аудит на месте, то, в отличие от продавцов, он должен проводиться QSA. Невозможно поручить внутреннему сотруднику выполнять эту обязанность по отношению к поставщикам услуг.
В случае SAQ это будет SAQ D Service Provider , поскольку это единственный SAQ, нацеленный на поставщиков услуг.
| Уровень | American Express | Discover | JCB | Mastercard | Visa |
|---|---|---|---|---|---|
| 1 | Годовые на месте Оценка безопасности проводится либо в QSA, или внутренний аудитор с результатами , заверенных генеральным директором, финансовым директором, CISO, или основными квартальной сетью сканами поведения с помощью ASV и представить AOSC или резюме | Ежегодная оценка на месте с помощью QSA Ежеквартальное сканирование сети, выполняемое ASV | Ежегодная оценка на месте посредством QSA Ежеквартальное сканирование сети, проводимое ASV | Ежегодная оценка на месте, проводимая QSA Ежеквартальное сканирование сети, проводимое ASV | Ежегодный ROC, подготовленный QSA Ежеквартальное сканирование сети с помощью формы подтверждения соответствия ASV |
| 2 | Заполните ежегодный опросный лист опроса и получите его заверение генеральным директором, финансовым директором, CISO или директором. Проведите ежеквартальное сканирование сети с помощью ASV и отправьте AOSC или резюме. | Ежегодный опросный лист опроса Ежеквартальное сканирование сети, проводимое ASV | Ежегодный опросный лист опроса Ежеквартальное сканирование сети, проводимое ASV | Ежегодный опросный лист опроса Ежеквартальное сканирование сети, проводимое ASV | Ежегодный опросный лист Ежеквартальное сканирование сети с помощью формы подтверждения соответствия ASV |
Сайты брендов карт
Все бренды карт публикуют общедоступную информацию о своих программах информационной безопасности. В них описывается, как продавцы и поставщики услуг распределяются по различным уровням, а также каковы требования к оценке для организаций на каждом уровне.
Mastercard и Visa также публикуют списки поставщиков услуг уровня 1, которые успешно прошли оценку на месте. Они публикуются, чтобы помочь продавцам и другим лицам выбирать соответствующих поставщиков услуг при создании среды обработки карт.
В настоящее время нам неизвестны реестры поставщиков аналогичных услуг для American Express, Discover и JCB. Если вам известно о наличии общедоступной ссылки на такой реестр, напишите нам, чтобы мы могли просмотреть и соответствующим образом обновить таблицу.
| Бренд карты | Программа информационной безопасности | Реестр поставщиков услуг |
|---|---|---|
| American Express |
American Express - Page Not FoundThe page you are looking for cannot be found. Use this page to navigate to the part of the site you are looking for.
merchant-channel.americanexpress.com
| Не найдено - не стесняйтесь обращаться по публичной ссылке |
| Discover |
Together, we can help you grow your business in new ways. Connect with us. | Discover Global NetworkReach, capabilities and partnership - all in one global network.
| Не найдено - не стесняйтесь обращаться по публичной ссылке |
| JCB |
JCB Data Security Program | JCB Global Website
www.global.jcb
| Не найдено - не стесняйтесь обращаться по публичной ссылке |
| Mastercard |
Small & Medium Business Solutions | Mastercard Payment SolutionsGrow your small & medium businesses with Mastercard's payment solutions. Manage everything from purchasing to getting paid with our innovative business solutions.
www.mastercard.us
| |
| Visa |
Validation of Compliance | Information SecurityDescribes criteria and tools available to determine whether you are in compliance with AIS requirements.
|
