Опросные листы для самооценки
advertisement
Стандарт безопасности данных индустрии платежных карт Опросные листы для самооценки Инструкции и рекомендации Версия 2.0 Октябрь 2010 г. Изменения документа Дата Версия Описание 1 октября 2008 г. 1.2 Обеспечено соответствие стандарту PCI DSS версии 1.2 и внедрены незначительные изменения по сравнению с версией 1.1. 28 октября 2010 г. 2.0 Обеспечено соответствие стандарту PCI DSS версии 2.0, описаны типы среды для целей заполнения ОЛС и критерии, по которым следует выбирать опросный лист. Добавление опросного листа для самооценки C-VT для торговосервисных предприятий, использующих виртуальный терминал с веб-интерфейсом БЛАГОДАРНОСТЬ: PCI SSC благодарит Центральный банк Российской Федерации и Некоммерческое партнерство "Сообщество пользователей стандартов по информационной безопасности АБИСС" (НП "АБИСС") за поддержку, оказанную при подготовке перевода настоящего документа. Английская версия этого документа является окончательной для всех целей и считается официальной версией. В случае каких-либо неоднозначностей или противоречий между текстом этого документа и английским текстом английский текст имеет преимущественное значение. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 2 Содержание Инструкции и рекомендации Версия 2.0 Октябрь 2010 г. ................................................ 1 Изменения документа ............................................................................................................ 2 Об этом документе ................................................................................................................. 4 Самооценка PCI DSS: как все взаимосвязано ................................................................... 5 Стандарт безопасности данных индустрии платежных карт (PCI DSS). Документы по теме .......................................................................................................................................... 6 Общие сведения об опросных листах для самооценки .................................................. 7 Почему соответствие стандарту PCI DSS так важно? ...................................................... 8 Общие советы и стратегии по подготовке к проверке на соответствие стандарту .... 9 Выбор опросного листа для самооценки и свидетельства о соответствии, которые лучше всего подходят вашей организации...................................................................... 12 Опросный лист для самооценки A — Торгово-сервисные предприятия, выполняющие операции без предоставления карт, все задачи по работе с данными о держателях карт выполняются сторонними организациями ................................................................................................................. 12 Опросный лист B — Торгово-сервисные предприятия, которые используют только системы для чтения данных с банковской карточки или только автономные терминалы с подключением к телефонной линии. Данные о держателях карт не хранятся в электронном формате................. 14 Опросный лист для самооценки C-VT — Торгово-сервисные предприятия, которые используют виртуальные терминалы с веб-интерфейсом, данные о держателях карт не хранятся в электронном виде ................................................................................................................................ 14 ОЛС C — Торгово-сервисные предприятия, которые используют платежные приложения, подключенные к Интернету, и которые не хранят данные о держателях карт в электронном виде ............................................................................................................................................................... 16 Опросный лист для самооценки D — Все остальные торгово-сервисные предприятия и поставщики услуг, которым платежная система предоставила право на проведение самооценки с использованием опросного листа .................................................................................................... 17 Рекомендации о неприменимости определенных требований .................................... 18 Инструкции по заполнению опросного листа ................................................................. 18 Какой тип опросного листа лучше всего подходит для моей среды? ........................ 19 Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 3 Об этом документе Этот документ был разработан для помощи торгово-сервисным предприятиям и поставщикам услуг в понимании того, как следует заполнять опросные листы для самооценки соответствия стандарту PCI DSS. Прочтите эти инструкции и рекомендации, чтобы понять, почему стандарт PCI DSS важен для вашей организации, какие стратегии может использовать ваша организация для облегчения проверки соответствия требованиям и может ли ваша организация использовать сокращенные версии опросных листов для самооценки. В следующих разделах приведены сведения, которые вы должны знать об опросных листах для самооценки соответствия стандарту PCI DSS. Самооценка PCI DSS: как все взаимосвязано PCI DSS. Документы по теме Общие сведения об опросных листах для самооценки Почему соответствие стандарту PCI DSS так важно? Общие советы и стратегии по подготовке к проверке на соответствие стандарту Выбор опросного листа для самооценки и свидетельства о соответствии, которые лучше всего подходят вашей организации Рекомендации о неприменимости определенных требований Инструкции по заполнению опросного листа Какой тип опросного листа лучше всего подходит для моей среды? Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 4 Самооценка PCI DSS: как все взаимосвязано Стандарт PCI DSS и вспомогательные документы представляют собой набор средств и показателей, которые помогают в обеспечении безопасности критичной информации. Стандарт обеспечивает концептуальную основу для разработки надежного процесса защиты данных, включая предотвращение, обнаружение и реагирование на инциденты. Для снижения риска компрометации и ее последствий важно, чтобы все организации, которые занимаются хранением, обработкой или передачей данных о держателях карт, соответствовали требованиям стандарта. В приведенной ниже таблице описаны средства, которые могут помочь организациям в достижении соответствия стандарту PCI DSS и самооценке соответствия. Эти и другие документы можно найти по адресу www.pcisecuritystandards.org. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 5 Стандарт безопасности данных индустрии платежных карт (PCI DSS). Документы по теме Следующие документы были подготовлены для помощи торгово-сервисным предприятиям и поставщикам услуг в понимании стандарта PCI DSS и того, как следует заполнять опросные листы. 1 Документ Целевая аудитория Стандарт безопасности данных индустрии платежных карт (PCI DSS). Требования и процедуры аудита безопасности Все торгово-сервисные предприятия и поставщики услуг PCI DSS: Понимание назначения требований Все торгово-сервисные предприятия и поставщики услуг Стандарт безопасности данных индустрии платежных карт (PCI DSS). Инструкции и рекомендации по заполнению опросных листов для самооценки Все торгово-сервисные предприятия и поставщики услуг Стандарт безопасности данных индустрии платежных карт (PCI DSS). Опросный лист A для самооценки и свидетельство о соответствии Торгово-сервисные предприятия, имеющие право 1 на заполнение Стандарт безопасности данных индустрии платежных карт (PCI DSS). Опросный лист B для самооценки и свидетельство о соответствии Торгово-сервисные предприятия, имеющие право 1 на заполнение Стандарт безопасности данных индустрии платежных карт (PCI DSS). Опросный лист C-VT для самооценки и свидетельство о соответствии Торгово-сервисные предприятия, имеющие право 1 на заполнение Стандарт безопасности данных индустрии платежных карт (PCI DSS). Опросный лист С для самооценки и свидетельство о соответствии Торгово-сервисные предприятия, имеющие право 1 на заполнение Стандарт безопасности данных индустрии платежных карт (PCI DSS). Опросный лист D для самооценки и свидетельство о соответствии Торгово-сервисные предприятия и поставщики услуг, имеющие право на 1 заполнение Стандарт безопасности данных индустрии платежных карт и стандарт безопасности данных платежных приложений. Глоссарий PCI DSS и PA-DSS. Основные определения, аббревиатуры и сокращения Все торгово-сервисные предприятия и поставщики услуг Для определения подходящего опросного листа для самооценки см. раздел "Выбор опросного листа для самооценки и свидетельства о соответствии, которые лучше всего подходят для вашей организации" на странице 12 этого документа. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 Октябрь 2010 г. (C) PCI Security Standards Council LLC, 2010 Страница 6 Общие сведения об опросных листах для самооценки Опросный лист для самооценки соответствия стандарту PCI DSS (ОЛС) — это инструмент, который предназначен для оказания помощи торгово-сервисным предприятиям и поставщикам услуг в самооценке их соответствия требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS). Существует несколько версий опросных листов, которые соответствуют различным сценариям. Этот документ разработан для помощи организациям в определении того, какой опросный лист лучше всего подходит вашей организации. Опросный лист для самооценки соответствия стандарту PCI DSS — это инструмент проверки для торгово-сервисных предприятий и поставщиков услуг, от которых не требуется предоставлять отчет о соответствии по результатам оценки безопасности данных на территории организации согласно документу "Стандарт безопасности данных индустрии платежных карт (PCI DSS). Требования и процедуры аудита безопасности". Использование опросных листов для самооценки может требоваться банком-эквайером или платежной системой. Опросный лист для самооценки соответствия стандарту PCI DSS состоит из следующих компонентов: 1. Вопросы, соответствующие требованиям PCI DSS и подходящие для поставщиков услуг и торгово-сервисных предприятий: См. раздел "Выбор опросного листа для самооценки и свидетельства о соответствии, которые лучше всего подходят для вашей организации" в этом документе. 2. Аттестация на соответствие стандарту: Аттестация — это самостоятельная сертификация, которую организация имеет право выполнять и выполняет посредством прохождения самооценки соответствия стандарту PCI DSS. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 7 Почему соответствие стандарту PCI DSS так важно? Члены Совета по стандартам безопасности индустрии платежных карт (American Express, Discover, JCB, MasterCard и Visa) постоянно отслеживают случаи компрометации данных. Случаи компрометации охватывают организации различного уровня: от небольших до крупных торговосервисных предприятий и поставщиков услуг. Нарушение системы безопасности и компрометация данных о держателях карт имеют негативные последствия для организаций, включая следующие: 1. требования об уведомлении госорганов; 2. потеря репутации; 3. потеря клиентов; 4. потенциальные финансовые обязательства (например, предусмотренные законодательством или другие штрафы); 5. судебный процесс. Анализ случаев компрометации позволяет выявить распространенные уязвимости в системе безопасности организаций, которые можно было бы устранить, если бы в этих организациях использовались процессы и механизмы, предусмотренные стандартом PCI DSS. Стандарт PCI DSS содержит требования, соблюдение которых помогает снизить риск компрометации и уменьшить ее последствия (если компрометация уже произошла). Анализ случаев компрометации демонстрирует распространенные факты нарушения требований PCI DSS, включая, но не ограничиваясь: Хранение данных магнитной полосы (Требование 3.2). Важно отметить, что многие организации, данные которых были компрометированы, не знали, что их системы хранят такие данные. Ненадлежащий контроль доступа вследствие неправильно установленных POS-систем, что позволяет злоумышленникам получить доступ к данным (Требования 7.1, 7.2, 8.2 и 8.3) Настройки и пароли системы, заданные по умолчанию, не изменяются при настройке системы (Требование 2.1) Не обеспечивается удаление или защита необязательных и небезопасных служб (Требования 2.2.2 и 2.2.4) Ошибки в коде веб-приложений, которые могут привести к SQL-инъекции и другим уязвимостям, с помощью которых злоумышленники могут получить доступ к данным о держателях карт непосредственно с веб-сайта (Требование 6.5) Отсутствие обновление или использование устаревших обновлений (Требование 6.1) Не ведется регистрация событий в журнале (Требование 10) Не выполняется мониторинг (посредством проверки журналов, обнаружения/предотвращения вторжения, ежеквартального сканирования на наличие уязвимостей, мониторинга целостности файлов) (Требования 10.6, 11.2, 11.4 и 11.5) Ненадлежащая сегментация сети, которая делает среду данных о держателях карт подверженной уязвимостям в других частях сети, которые не защищены в соответствии со стандартом PCI DSS (например, это могут быть беспроводные точки доступа и уязвимости, связанные с электронными сообщениями сотрудников и работой в сети Интернет) (Требования 1.2, 1.3 и 1.4) Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 8 Общие советы и стратегии по подготовке к проверке на соответствие стандарту Далее приведены некоторые общие советы и стратегии по подготовке к проверке на соответствие стандарту PCI DSS. Эти советы помогут вам избавиться от данных, которые вам не нужны, изолировать данные, которые вам нужны, в определенных и контролируемых централизованных местах и ограничить область проверки на соответствие стандарту PCI DSS. Вы сможете удалить из области самооценки системы и/или сети, которые не используются для хранения, обработки или передачи данных о держателях карт и не подключены к системам, которые используются для этих целей. 1. Критичные аутентификационные данные (включают в себя содержимое магнитной полосы или чипа, коды и значения проверки подлинности карты, PIN-коды и блоки PIN): a. Убедитесь, что вы не храните эти данные. b. Если вы не уверены, обратитесь к вашему поставщику POS-систем, чтобы узнать, хранит ли ПО и версия, которую вы используете, эти данные. Или наймите сертифицированного специалиста по оценке безопасности, чтобы он помог вам определить, хранятся ли, регистрируются или обрабатываются критичные аутентификационные данные где-либо в ваших системах. 2. Если у вас торгово-сервисное предприятие, обратитесь к поставщику POS-систем и задайте ему следующие вопросы: a. Соответствует ли моя POS-система стандарту PA-DSS? (Ознакомьтесь со списком платежных приложений, одобренных Советом PCI SSC.) b. Хранятся ли в моей POS-системе данные магнитной полосы (данные дорожки) или блоки PIN? Если такие данные хранятся в моей системе, их необходимо удалить. Как вы можете помочь мне быстро удалить их? c. Хранятся ли в моей POS-системе номера платежных карт (PAN)? Если хранятся, то эти данные должны быть надежно защищены. Как POS-система обеспечивает защиту этих данных? d. Есть ли у вас список файлов, созданных приложением, с краткой информацией о содержимом каждого файла, для проверки того, хранятся ли в системе упомянутые выше данные, хранение которых запрещено? e. Требует ли ваша POS-система установки межсетевого экрана для защиты моих систем от несанкционированного доступа? f. Требуются ли сложные и уникальные пароли для доступа к моим системам? Можете ли вы подтвердить, что вы не используете легкоугадываемые пароли или пароли, заданные по умолчанию, для моей системы и других систем, которые вы поддерживаете? g. Менялись ли настройки и пароли, заданные по умолчанию, для систем и баз данных, которые являются частью POS-системы? h. Выполнялось ли удаление всех необязательных и небезопасных служб из систем и баз данных, которые являются частью POS-системы. i. Есть ли у вас удаленный доступ к моей POS-системе? Если есть, используете ли вы механизмы контроля для предотвращения доступа других лиц к моей POS-системе, например безопасные методы удаленного доступа и смену легкоугадываемых паролей и паролей, заданных по умолчанию? Как часто вы осуществляете удаленный доступ к моему устройству POS и почему? Кто имеет авторизованный удаленный доступ к моей POS-системе? j. Для всех ли систем и баз данных, которые являются частью POS-системы, установлены необходимые обновления? Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 9 k. Включена ли функция регистрации событий в журнале на всех системах и базах данных, которые являются частью POS-системы. l. Если предыдущие версии моей POS-системы хранили данные дорожки, была ли удалена эта функция при обновлении POS-системы? Использовалась ли утилита для безопасного стирания данных, чтобы удалить эти данные? 3. Данные о держателях карт: если они вам не нужны, не храните их! a. Правила платежной системы разрешают хранение номера платежной карты (PAN), даты истечения срока действия, имя держателя карты и сервисный код. b. Необходимо регистрировать все причины и места хранения этих данных. Если данные не требуются для достижения бизнес-целей, рассмотрите возможность их удаления. c. При решении вопроса о том, стоит ли хранить эти данные и использовать бизнеспроцессы, которые они поддерживают, примите во внимание следующие факторы: i. риск компрометации данных; ii. дополнительные усилия в рамках достижения соответствия стандарту PCI DSS для защиты этих данных; iii. необходимость непрерывной поддержки для обеспечения соответствия стандарту PCI DSS. 4. Данные о держателях карт: если они не нужны вам, консолидируйте и изолируйте их! Вы можете ограничить область оценки на соответствие стандарту PCI DSS посредством консолидации хранилища данных в определенной среде и изоляции данных посредством надлежащей сегментации сети. Например, если ваши сотрудники получают электронное сообщение по почте на одном компьютере или сегменте сети с данными о держателях карт, рассмотрите возможность сегментации (изоляции) данных о держателях карт на собственном компьютере или в сегменте сети (например, через маршрутизаторы или межсетевые экраны). Если вы можете эффективно изолировать данные о держателях карт, вы можете сфокусировать свои усилия в рамках стандарта PCI DSS только на изолированной части, а не на всех компьютерах. 5. Компенсационные меры Компенсационные меры можно использовать для всех требований PCI DSS, когда организация не может соответствовать технической спецификации требования, но снизила риск с помощью альтернативных компенсационных мер. Если ваша компания не имеет инструментов контроля, указанных в стандарте PCI DSS, но имеет другие инструменты контроля, которые соответствуют определению компенсационных мер (см. раздел «Компенсационные меры" в приложении к опросному листу и документу "Глоссарий PCI DSS и PA-DSS. Основные определения, аббревиатуры и сокращения" на сайте www.pcisecuritystandards.org), ваша компания должна сделать следующее: a. На соответствующий вопрос опросного листа дайте ответ "ДА" и в столбце "Комментарии" отметьте использование компенсационных мер с целью соответствия требованиям. b. Ознакомьтесь с разделом "Компенсационные меры" в Приложении В опросного листа и задокументируйте использование компенсационных мер, заполнив лист компенсационных мер в Приложении С опросного листа. c. Заполните лист компенсационных мер для каждого требования, соответствие которому достигается с использованием компенсационных мер. d. Отправьте все заполненные листы компенсационных мер, а также заполненный опросный лист для самооценки и/или свидетельство в соответствии с инструкциями от вашего банка-эквайера или платежной системы. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 10 6. Профессиональная помощь и обучение a. Если вам требуется профессиональная помощь по достижению соответствия требованиям и заполнению опросного листа, вы можете воспользоваться ею. Но обратите внимание: хотя вы имеете право воспользоваться помощью любых специалистов, только те компании, которые включены Советом PCI SSC в список сертифицированных аудиторов, имеют статус QSA и прошли обучение под руководством специалистов Совета PCI SSC. Ознакомиться с этим списком можно на сайте https://www.pcisecuritystandards.org. b. Совет по стандартам безопасности индустрии платежных карт (SSC) предоставляет различные образовательные ресурсы для повышения осведомленности организаций в вопросах обеспечения безопасности. Эти ресурсы включают в себя программу обучения PCI DSS для внутренних аудиторов (ISA) и программу обучения по стандартам. Дополнительные ресурсы можно найти на веб-сайте PCI SSC, в том числе следующие: Руководство "Ориентирование в стандарте PCI DSS" "Глоссарий PCI DSS. Основные определения, аббревиатуры и сокращения" Часто задаваемые вопросы Веб-семинары Дополнительная информация и рекомендации Свидетельства о соответствии Более подробная информация доступна на сайте www.pcisecuritystandards.org. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Примечание. Данная информация дополняет стандарт PCI DSS. Она дает представление о дополнительных аспектах проведения проверки на соответствие стандарту, но не изменяет, не исключает и не заменяет содержание стандарта или какое-либо из его требований. Октябрь 2010 г. Страница 11 Выбор опросного листа для самооценки и свидетельства о соответствии, которые лучше всего подходят вашей организации Согласно правилам платежных систем, все торгово-сервисные предприятия и поставщики услуг должны обеспечить соответствие стандарту PCI DSS. Существует пять категорий опросных листов, которые представлены в таблице ниже и описаны более подробно в следующих разделах. Используйте эту таблицу, чтобы определить, какой опросный лист лучше всего подходит вашей организации, затем просмотрите подробные описания, чтобы убедиться в том, что вы соответствуете всем требованиям для этого опросного листа. Опросный лист Описание А Торгово-сервисные предприятия, которые занимаются операциями без предоставления карт (электронная коммерция или прием заказов по почте или телефону), все задачи по работе с данными о держателях карт выполняются сторонними организациями. Это не относится к торговосервисным предприятиям, которые занимаются операциями с предоставлением карты. B Торгово-сервисные предприятия, которые используют только машины для считывания данных или автономные терминалы с подключением к телефонной сети и не хранят данные о держателях карт в электронном виде C-VT Торгово-сервисные предприятия, использующие только виртуальные терминалы с веб-интерфейсом и не хранящие данные о держателях карт в электронном виде C Торгово-сервисные предприятия, которые используют платежные приложения, подключенные к сети Интернет, и не хранят данные о держателях карт в электронном виде D Все другие торгово-сервисные предприятия, не включенные в описания опросных листов A-C, и все поставщики услуг, наделенные платежной системой правом заполнения опросного листа. Опросный лист для самооценки A — Торгово-сервисные предприятия, выполняющие операции без предоставления карт, все задачи по работе с данными о держателях карт выполняются сторонними организациями Опросный лист для самооценки A разработан для удовлетворения требований, применимых к торговосервисным предприятиям, которые сохраняют только бумажные отчеты или квитанции и не хранят данные о держателях карт в электронном формате и не обрабатывают и не передают данные о держателях карт. Рекомендации по выбору типа опросного листа, который подходит вашей организации, приведены на схеме в разделе "Какой тип опросного листа лучше всего подходит для моей среды?" на странице 19. Торгово-сервисные предприятия, которым подходит опросный лист A, не хранят данные о держателях карт в электронном формате и не обрабатывают и не передают данные о Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 12 держателях карт. Посредством заполнения опросного листа A и Свидетельства о соответствии они подтверждают следующее: Ваша компания выполняет только операции без предоставления карты (электронная коммерция, обработка заказов по почте или телефону). Ваша компания не хранит, не обрабатывает и не передает данные о держателях карт, а все задачи по работе с данными о держателях карт выполняются сторонними организациями. Ваша компания подтверждает, что сторонняя организация, которая хранит, обрабатывает и/или передает данные о держателях карт, соответствует требованиям PCI DSS. Ваша компания хранит только бумажные отчеты или квитанции с данными о держателях карт, и эти документы не принимаются в электронном виде. Ваша компания не хранит данные о держателях карт в электронном формате. Этот вариант не применим к торгово-сервисным предприятиям, которые используют POSсистемы в своей среде. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 13 Опросный лист B — Торгово-сервисные предприятия, которые используют только системы для чтения данных с банковской карточки или только автономные терминалы с подключением к телефонной линии. Данные о держателях карт не хранятся в электронном формате. Опросный лист для самооценки B предназначен для торгово-сервисных предприятий, которые обрабатывают данные о держателях карт только с помощью машин для чтения данных или автономных Рекомендации по выбору терминалов с подключением к телефонной сети. типа опросного листа, который подходит вашей Торгово-сервисные предприятия, которым подходит опросный организации, приведены на лист для самооценки B, обрабатывают данные о держателях схеме в разделе "Какой тип карт только с помощью машин для чтения данных или опросного листа лучше автономных терминалов с подключением к телефонной сети и всего подходит для моей могут выполнять как операции с предоставлением карты, так и среды?" на странице 19. операции без предоставления карты. Посредством заполнения опросного листа B и свидетельства о соответствии такие торгово-сервисные организации подтверждают следующее: Ваша компания использует только машины для чтения данных и/или только автономные терминалы с подключением к телефонной сети для обработки данных о держателях карт; Автономные терминалы не подключены к другим системам в вашей среде; Автономные терминалы не подключены к сети Интернет; Ваша компания не передает данные о держателях карт по сети (внутренней или Интернету); Ваша компания хранит только бумажные отчеты или квитанции с данными о держателях карт, и эти документы не принимаются в электронном виде. Ваша компания не хранит данные в электронном формате. Опросный лист для самооценки C-VT — Торгово-сервисные предприятия, которые используют виртуальные терминалы с веб-интерфейсом, данные о держателях карт не хранятся в электронном виде Опросный лист для самооценки C-VT предназначен для торгово-сервисных предприятий, которые обрабатывают данные о держателях карт с помощью изолированных виртуальных терминалов на персональных компьютерах, подключенных к сети Интернет. Виртуальный терминал обеспечивает доступ через вебинтерфейс к сайту банка-эквайера, процессинговой системы или стороннего поставщика услуг для авторизации операций с платежной картой, где ввод данных о держателе карт выполняется вручную через защищенный веб-браузер. В отличие от физических терминалов, виртуальные терминалы не считывают данные непосредственно с платежной карты. Поскольку операции с платежной картой выполняются вручную, виртуальные терминалы обычно используются вместо физических терминалов в средах торгово-сервисных предприятий с низкими объемами транзакций. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Рекомендации по выбору типа опросного листа, который подходит вашей организации, приведены на схеме в разделе "Какой тип опросного листа лучше всего подходит для моей среды?" на странице 19. Октябрь 2010 г. Страница 14 Такие торгово-сервисные предприятия обрабатывают данные о держателях карт только с помощью виртуальных терминалов и не хранят данные о держателях карт в компьютерных системах. Виртуальные терминалы подключены к сети Интернет для доступа к серверам третьих сторон. На этих серверах размещены механизмы обработки платежей виртуальных терминалов. Эти третьи стороны могут быть процессинговыми системами, банками-эквайерами и другими сторонними поставщиками услуг, которые хранят, обрабатывают и/или передают данные о держателях карт для авторизации платежных операций и возвратов, проводимых посредством виртуальных терминалов. Данный опросный лист применяется только для торгово-сервисных организаций, использующих ручной ввод данных для каждой операции с клавиатуры в виртуальный терминал, доступный в сети Интернет. Такие торгово-сервисные предприятия обрабатывают данные о держателях карт с помощью виртуальных терминалов на компьютерах, подключенных к сети Интернет и не хранят данные о держателях карт в компьютерных системах. При этом торгово-сервисное предприятие может иметь физические пункты обслуживания клиентов (в этом случае при проведении операций клиенты предоставляют платежные карты), или же может работать в области электронной торговли, торговли по почте или по телефону (в этом случае операции проводятся без предоставления платежных карт). Такие торгово-сервисные предприятия могут проверить свое соответствие, заполнив опросный лист C-VT и связанное с ним свидетельство о соответствии для подтверждения следующих фактов: Обработка платежей в компании осуществляется только с помощью виртуального терминала, доступ к которому осуществляется посредством веб-браузера, подключенного к сети Интернет. Используемое решение виртуального терминала предоставляется третьей стороной, прошедшей проверку на соответствие стандартам PCI DSS, и размещается на ее ресурсах. Доступ к решению виртуального терминала, поддерживающему стандарты PCI DSS, осуществляется в вашей компании с помощью компьютера, изолированного в одном месте и не подключенного к другим местам и системам в вашей среде (изолировать компьютер от других систем можно путем применения брандмауэра или сегментации сети). На компьютере вашей компании нет программ, сохраняющих данные о держателях карт (например, нет программ для пакетной обработки или промежуточного хранения). К компьютеру вашей компании не подключены устройства, способные записывать или хранить данные о держателях карт (например, к компьютеру не подключены считыватели карт памяти). Ваша компания не получает и не передает данные о держателях карт в электронном виде никаким иным образом по любым каналам (например, по внутренней сети или через Интернет). В вашей компании сохраняются только бумажные отчеты и бумажные копии чеков. Ваша компания не хранит данные о держателях карт в электронном формате. Это не относится к торгово-сервисным предприятиям, которые занимаются электронной торговлей. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 15 ОЛС C — Торгово-сервисные предприятия, которые используют платежные приложения, подключенные к Интернету, и которые не хранят данные о держателях карт в электронном виде Опросный лист для самооценки C предназначен для торгово-сервисных предприятий, платежные системы которых (например, POS-системы) подключены к сети Интернет (например, с помощью DSL-модема, кабельного модема и т. д.) при следующих условиях: 1. Платежное приложение установлено на персональном компьютере, который подключен к сети Интернет (например, для получения и отправки сообщений электронной почты или для просмотра веб-страниц), или 2. Платежное приложение подключено к сети Интернет для передачи данных о держателях карт. Рекомендации по выбору типа опросного листа, который подходит вашей организации, приведены на схеме в разделе "Какой тип опросного листа лучше всего подходит для моей среды?" на странице 19. Торгово-сервисные предприятия, которым подходит опросный лист C, обрабатывают данные о держателях карт с помощью платежных приложений, подключенных к сети Интернет, и не хранят данные ни в одной компьютерной системе. Они могут выполнять операции как с предоставлением карты, так и без предоставления карты. Заполняя опросный лист C и Свидетельство о соответствии, эти торгово-сервисные предприятия подтверждают следующее: в вашей компании платежная система и подключение к сети Интернет находятся на одном и том же устройстве и/или в одной и той же локальной сети (LAN); платежное приложение или устройство с подключением к сети Интернет не подключено ни к каким другим системам в вашей среде (чего можно достичь посредством сегментации сети для отделения платежного приложения или устройства от других систем); магазин вашей компании не подключен к другим магазинам в других местах. Каждая LAN существует только в пределах одного магазина; в вашей компании сохраняются только бумажные отчеты и бумажные копии чеков; ваша компания не хранит данные в электронном виде; поставщик приложения платежной системы использует методы защиты данных при удаленной технической поддержке приложения платежной системы, используемого в вашей организации. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 16 Опросный лист для самооценки D — Все остальные торгово-сервисные предприятия и поставщики услуг, которым платежная система предоставила право на проведение самооценки с использованием опросного листа Опросный лист D предназначен для всех поставщиков услуг, которым платежная система предоставила право на проведение самооценки с использованием опросного листа, а также торгово-сервисным предприятия, которые могут проводить самооценку с помощью опросных листов и которые не соответствуют описаниям опросных листов категорий A-C. Такие торгово-сервисные предприятия могут проверить свое соответствие, заполнив опросный лист D и связанное с ним Свидетельство о соответствии. Хотя многие организации, которые заполняют опросный лист ОЛС D, должны подтверждать соответствие всем требованиям PCI DSS, к некоторым организациям со специфическими бизнес-моделями определенные требования не применяются. Например, не требуется, чтобы компания, не использующая беспроводные технологии, подтверждала соответствие требованиям, которые описаны в разделах стандарта PCI DSS, относящихся к управлению беспроводными технологиями. См. приведенные ниже инструкции по исключению из области оценки требований, относящихся к беспроводным технологиям, а также некоторых других требований. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 17 Рекомендации о неприменимости определенных требований Исключение: Если для подтверждения соответствия стандарту PCI DSS вам нужно заполнять опросный лист C или D, необходимо учитывать следующие моменты. См. также раздел "Неприменимость требований", чтобы выбрать нужный ответ на вопрос. Требования 1.2.3, 2.1.1 и 4.1.1 (опросные листы C и D): На вопросы о беспроводных технологиях следует отвечать, только если в вашей сети используются беспроводные устройства. Обратите внимание, что на вопросы, связанные с требованием 11.1 (использование процесса для выявления неавторизованных беспроводных точек доступа), необходимо отвечать даже в том случае, если беспроводные технологии не используются в вашей сети, поскольку данный процесс обнаруживает все неавторизованные устройства, которые могли быть подключены без вашего ведома. Требования 6.3 и 6.5 (опросный лист D): на вопросы, связанные с разработанными приложениями и кодом, необходимо отвечать, только если эти приложения разработаны специалистами вашей организации. Требования 9.1-9.4 (опросный лист D): на вопросы, связанные с этими требованиями, необходимо отвечать, только если в офисе вашей компании имеются критичные помещения (определение "критичного помещения" приведено ниже). Под критичным помещением понимается любой центр обработки данных, серверное помещение или любое помещение, в котором находятся системы, где выполняются хранение, обработка или передача данных о держателях карт. К ним не относятся помещения, в которых находятся только POSтерминалы, например зоны кассовых аппаратов в розничном магазине, но относятся серверные помещения, где обрабатываются данные о держателях карт, и хранилища с большим объемом таких данных. Неприменимость требований: Для всех типов опросных листов эти и любые другие требования, которые неприменимы к вашей среде, должны быть отмечены как "Н/п" в столбце "Комментарии" опросного листа для самооценки. Для каждого такого требования заполните форму "Причины неприменимости требований", приведенную в приложении к опросному листу. Инструкции по заполнению опросного листа 1. Используйте рекомендации, приведенные в настоящем документе, для выбора опросного листа, подходящего для вашей компании. 2. Ознакомьтесь с документом "PCI DSS: Понимание назначения требований", чтобы понять, какие требования и почему должна соблюдать ваша организация. 3. Оцените свою среду на соответствие стандарту PCI DSS. 4. Заполните выбранный опросный лист для самооценки, чтобы подтвердить соответствие стандарту PCI DSS. 5. Следуйте инструкциям, приведенным в разделе "Порядок оформления подтверждения о соответствии стандарту PCI DSS" опросного листа. Отправьте всю необходимую документацию в ваш банк-эквайер или вашей платежной системе. Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 18 Какой тип опросного листа лучше всего подходит для моей среды? Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 Copyright 2010 PCI Security Standards Council LLC Октябрь 2010 г. Страница 19
