В августе 2014 года было опубликовано руководство PCI DSS, содержащее рекомендации по обеспечению безопасного взаимодействия с поставщиками услуг, которые имеют доступ к данным владельцев платежных карт или могут повлиять на их безопасность.
Цель руководства – помочь организациям, использующим поставщиков услуг, в реализации требования 12.8 стандарта PCI DSS 3.0, регламентирующего управление отношениями с поставщиками услуг.
Руководство также полезно поставщикам услуг для понимания своей роли в удовлетворении требований PCI DSS при взаимодействии с организациями, участвующими в обработке платежных карт.
Руководство охватывает следующие ключевые моменты:
- Необходимость проведения тщательного анализа и оценки рисков при выборе поставщиков услуг до установления договорных отношений.
- Определение, какие именно услуги будут предоставляться сторонними организациями и каким образом для этих услуг будет достигнуто соответствие требованиям PCI DSS.
- Разработка соглашений, политик, процедур и сопутствующей документации, регламентирующих порядок безопасного взаимодействия с поставщиками услуг. Наличие документированных процессов способствует согласованности взаимодействия и взаимопониманию между организацией и ее поставщиками услуг в части соблюдения требований PCI DSS.
- Осуществление непрерывного регулирования взаимоотношений с поставщиками услуг и мониторинга выполнения ими требований на всем протяжении договорных отношений.
Руководство содержит примерный алгоритм проведения анализа поставщиков услуг и оценки их соответствия требованиям PCI DSS.
При выборе поставщиков услуг организации рекомендуется ответить на следующие ключевые вопросы:
- будет ли поставщик хранить, обрабатывать или передавать данные владельцев платежных карт?
- будет ли поставщик вовлечен в защиту данных владельцев платежных карт и будет ли иметь доступ к ним?
- будет ли поставщик вовлечен в защиту среды данных владельцев платежных карт и будет ли иметь доступ к ней?
- будет ли поставщик иметь случайный доступ к среде данных владельцев платежных карт?
- проводит ли поставщик услуг оценку рисков?
В случае принятия решения о дальнейшем взаимодействии с поставщиком услуг, организации рекомендуется разработать таблицу разграничения зон ответственности сторон при обеспечении выполнения требований PCI DSS.
В руководстве приведен примерный перечень поставщиков услуг, которые должны соответствовать требованиям PCI DSS и, соответственно, контролироваться привлекающими их организациями:
1. Организации, участвующие в хранении, обработке и/или передаче данных владельцев платежных карт:
- call-центры;
- провайдеры электронных платежных сервисов;
- организации, обрабатывающие платежи по поручению иной организации (например, партнеры или посредники);
- организации, предоставляющие услуги по выявлению мошеннических операций, ведению/предоставлению кредитной истории, коллекторские агентства;
- сторонние процессинговые центры;
- предприятия, предлагающие услуги платежного шлюза;
2. Организации, участвующие в защите данных владельцев платежных карт:
- компании, предоставляющие услуги гарантированного уничтожения электронных и физических носителей информации;
- защищенные помещения для хранения электронных и физических носителей информации;
- компании, обеспечивающие защиту данных владельцев платежных карт с использованием токенизации (замены конфиденциальных данных не конфиденциальными значениями с возможностью обратного преобразования или без такой возможности) или шифрования;
- торгово-сервисные предприятия, использующие средства электронной торговли или мобильные приложения, предоставляющие программное обеспечение как услугу;
- службы управления ключами, например, ввода ключевой информации или поддержки ключевой инфраструктуры (ESO).
3. Организации, участвующие в защите среды данных владельцев платежных карт:
- поставщики услуг информационной инфраструктуры;
- поставщики услуг по управлению межсетевыми экранами /маршрутизаторами;
- защищенные центры обработки данных хостинг-провайдеров;
- организации, предоставляющие услуги выявления критических событий системы безопасности (системы обнаружения вторжений (IDS), антивирусная защита, контроль изменений, мониторинг соответствия, мониторинг журналов аудита и т.д.).
4. Организации, которые могут иметь случайный доступ к данным владельцев платежных карт или среде данных владельцев платежных карт:
- поставщики предоставляемых (арендованных) каналов связи и IT-услуг;
- компании, осуществляющие разработку программного обеспечения (например, веб-приложений);
- поставщики услуг в сфере технического обслуживания.
Согласно руководству организация может привлекать поставщиков услуг, которые не полностью соответствуют требованиям PCI DSS, однако это не освобождает ее от обязанности соответствовать требованиям стандарта. Организация, привлекающая поставщиков услуг, не соответствующих в полной мере требованиям PCI DSS, должна применять компенсационные меры.