Банкууд 

Пентестийн дүрэм: PCI DSS стандартын дагуу аудит хийх. PCI DSS гэрчилгээ: Таны мэдэх ёстой бүх мэдээлэл PCI DSS стандартаар хамгаалагдсан

Олон улсын төлбөрийн системийн (Visa, MasterCard, American Express, Discover, JCB) төлбөрийн картын мэдээллийг хадгалах, боловсруулах, дамжуулах байгууллагууд PCI DSS стандартын шаардлагыг дагаж мөрдөх шаардлагатай. Төлбөрийн системүүд нь стандартын шаардлагад нийцэж байгаа эсэхийг баталгаажуулах давтамж, хэлбэр, түүнчлэн төлбөрийн картын мэдээллийг зөрчих, зөрчих шийтгэлийг тодорхойлсон.

Байгууллагуудад стандартын шаардлагыг хангахад нь туслахын тулд Informzashita нь үйлчлүүлэгчийн үүрэг даалгавар, онцлогийг харгалзан PCI DSS-ийн нийцлийн үйлчилгээний янз бүрийн сонголтыг санал болгодог. Тэдний дунд:

  • PCI DSS нийцтэй байдал.Энэхүү үйлчилгээ нь компанийн мэдээллийн аюулгүй байдлын түвшинг эхнээс нь PCI DSS стандартын шаардлагад нийцүүлэх явдал юм. Үүнд:
    • Нийцлийн төлөвлөгөө боловсруулах урьдчилсан аудит;
    • Шууд бууруулах үе шат;
    • Эцсийн баталгаажуулалтын аудит.
  • PCI DSS-ийн нийцлийг хадгалах.Энэхүү үйлчилгээ нь PCI DSS-ийн нийцлийн гэрчилгээтэй бөгөөд дараагийн баталгаажуулалтыг сонирхож буй байгууллагуудад туслах болно.
  • PCI DSS баталгаажуулалтын аудит.Энэхүү үйлчилгээ нь шаардлагатай PCI DSS хамгаалалтын арга хэмжээг бие даан хэрэгжүүлсэн байгууллагуудад зориулагдсан бөгөөд зөвхөн нийцлийн эцсийн үнэлгээг сонирхож байна.
  • PA-DSS стандартын шаардлагын дагуу програм хангамжийн гэрчилгээ. 2008 онд Төлбөрийн картын үйлдвэрлэлийн аюулгүй байдлын зөвлөл (PCI SSC) нь PCI DSS стандартын шаардлагыг дагаж мөрдөхийг дэмжих зорилготой төлбөрийн хэрэглээний аюулгүй байдлын стандарт - Төлбөрийн хэрэглээний мэдээллийн аюулгүй байдлын стандартыг (PA-DSS) баталсан. VISA болон MasterCard төлбөрийн системүүдийн шаардлагын дагуу зөвшөөрлийн гүйлгээг боловсруулах эсвэл төлбөрийн картаар төлбөр хийхтэй холбоотой бүх "хайрцагласан" програмууд нь PA-DSS стандартын дагуу баталгаажсан байх ёстой.
    VISA болон MasterCard төлбөрийн системүүд нь агентууд болон худалдаа үйлчилгээний сүлжээний аж ахуйн нэгжүүдийг баталгаажуулсан програм ашиглахад шилжүүлэх эцсийн хугацааг тогтоосон - 2012 оны 7-р сарын 1.
    Програмын PA-DSS баталгаажуулалтыг зөвхөн PA-QSA тэмдэглэгээтэй аудитор хийж болно. Информзашита бол Орост ийм статустай болсон анхны компани юм.
    Информзашитагийн мэргэжилтнүүд 2009 оноос хойш PA-DSS стандартад нийцэж байгаа эсэхэд шалгалт хийж байна. Бид ажиллах хугацаандаа боловсруулах программ хангамж, төлбөрийн терминалын программ, цахим худалдаа гэсэн 10 гаруй программыг баталгаажуулсан. Хуримтлагдсан туршлага нь хөгжүүлэгчийн бэлтгэл ажил, гэрчилгээжүүлэх оновчтой схемийг тодорхойлох боломжийг олгодог. Програм хангамжийн аюулгүй хөгжүүлэлт, засвар үйлчилгээ хийх шаардлагыг хэрэгжүүлэх ажлыг одоо байгаа үйл явцыг харгалзан гүйцэтгэдэг. Эцсийн баримт бичгийн түвшин, тогтсон практик нь PCI SSC-ийн чанарын хяналтын журмыг заавал нэвтрүүлэх хамгийн бага хугацааг баталгаажуулдаг.
  • Програм хангамжийн PA-DSS шаардлагад нийцэж байх. PA-DSS-ээр баталгаажсан төлбөрийн програмуудад хийсэн өөрчлөлтийг хянан үзэх шаардлагатай бөгөөд зарим тохиолдолд заавал дахин баталгаажуулалт хийдэг. Гүйцэтгэсэн баталгаажуулалтын хамрах хүрээ, тайлангийн баримт бичиг нь өөрчлөлтийн төрлөөс хамаарна.
    Informzashita-ийн мэргэшсэн аудиторууд нь стандартын шаардлага, борлуулагчийн бодит байдлыг харгалзан хувилбарын бодлогыг боловсруулж, стандартад заасан бүх төрлийн өөрчлөлтөд дахин баталгаажуулалт хийж, эцсийн баримт бичгийг PCI SSC-тэй зохицуулах туршлагатай.
    Дахин баталгаажуулалтыг хангах арга барил нь хөгжүүлэгчийн хүсэлд үндэслэн бий болсон бөгөөд програм хөгжүүлэгчийн шинэчлэлийг гаргах одоо байгаа практикт тулгуурладаг.
  • PCI ASV скан хийх, WEB програмыг скан хийх. Informzashita компани нь PCI ASV сканнерын баталгаат (сертификат No 4159-01-08) ханган нийлүүлэгч юм. PCI ASV сканнер нь PCI DSS стандартын 11.2.2-д нийцэж байгаа эсэхийг баталгаажуулдаг. Стандартыг албан ёсоор дагаж мөрдөхөөс гадна PCI ASV сканнер нь гадаад сүлжээний периметрийн аюулгүй байдлыг үнэлэх, эмзэг байдал, буруу тохиргоог тодорхойлох боломжийг олгодог.
  • PCI DSS шаардлагын дагуу нэвтрэлтийн иж бүрэн тест.Үйлчилгээ орно практик үнэлгээтөлбөрийн картын өгөгдөл эсвэл төлбөрийн картын өгөгдлийг боловсруулах сүлжээний нөөцөд зөвшөөрөлгүй нэвтрэх боломж (PCI DSS-ийн 11.3-р зүйлийн шаардлага).
  • Худалдаачдыг худалдан авагч банкуудад тавих PCI DSS шаардлагыг дагаж мөрдөх хөтөлбөр боловсруулах.Олон улсын төлбөрийн системийн шаардлагын дагуу эквайринг банкууд худалдаачдаа PCI DSS стандартын шаардлагыг дагаж мөрдөх үүрэгтэй. Үйлчилгээний нэг хэсэг болох олон улсын төлбөрийн системийн Дансны мэдээллийн аюулгүй байдал, Сайтын мэдээллийг хамгаалах программууд дээр үндэслэн худалдаачид PCI DSS стандартын шаардлагыг дагаж мөрдөж байгаа эсэхийг хянах хөтөлбөрийг боловсруулж байна.
  • PCI DSS-ийн өөрийгөө үнэлэх хуудсыг бөглөхөд туслах.Энэхүү үйлчилгээ нь гүйлгээний хэмжээ багатай худалдаачид болон үйлчилгээ үзүүлэгчдэд зориулагдсан. Үйлчилгээний нэг хэсэг болгон Informzashita нь PCI DSS-ийн өөрийн үнэлгээний хуудсыг бөглөх замаар нийцлийн үнэлгээ хийхэд туслалцаа үзүүлдэг.

Энэхүү ажил нь стандартын шаардлагыг хангаж, төлбөрийн картын мэдээлэл алдагдахаас үүсэх эрсдлийг бууруулж, олон улсын төлбөрийн системийн хоригоос зайлсхийх боломжийг олгоно.

"Информзащита" компани нь ОХУ-д анх удаа QSA болон ASV статусыг хүлээн авч, PCI DSS баталгаажуулалтын аудит, гадны ASV скан хийх эрхийг олгосон. Informzashita нь QSA сертификаттай аудиторуудын тоогоор бусдаас давуу юм Оросын компаниуд. Тиймээс үйлчлүүлэгч бүртэй хувийн мэргэжилтэн ажилладаг. Тус компани нь PCI SSC-ийн тайлангийн чанарын хяналтыг амжилттай давсан нь үйлчлүүлэгчдэд үзүүлж буй үйлчилгээний өндөр чанарыг баталгаажуулав. 2006 оноос хойш тус компани нь PCI DSS-ийн нийцэл, баталгаажуулалтад хүрэхийн тулд банк, бие даасан боловсруулах төв, үйлчилгээ үзүүлэгч, дата төв, худалдаачдад зориулсан 90 гаруй төслийг хэрэгжүүлсэн.

#PCI

Анхаар!Энэ нийтлэл нь PCI автобус ба түүний үүсмэл PCI64 ба PCI-X-ийн тухай юм! Үүнийг энэ түгээмэл асуултуудад тайлбарласан дугуйтай огт нийцэхгүй шинэ дугуй (PCI Express) гэж бүү андуураарай.


PCI 2.0- үндсэн стандартын анхны хувилбар нь өргөн тархсан бөгөөд зөвхөн 5V-ийн дохионы хүчдэл бүхий карт, үүр хоёуланг нь ашигласан.

PCI 2.1- 2.0-ээс хэд хэдэн автобусны мастер төхөөрөмжийг нэгэн зэрэг ажиллуулах боломжтой (өрсөлдөөнт горим гэж нэрлэгддэг), мөн 5V ба 3.3V үүрэнд ажиллах боломжтой бүх нийтийн өргөтгөлийн картуудын дүр төрхөөр ялгаатай. 3.3V карттай ажиллах чадвар, 2.1 хувилбарт тохирох цахилгаан шугамууд нь сонголттой байсан.PCI66 болон PCI64 өргөтгөлүүд гарч ирэв.

PCI 2.2- 5V ба 3.3V-ийн дохионы хүчдэл бүхий өргөтгөлийн картыг холбох боломжийг олгодог автобусны үндсэн стандартын хувилбар. Эдгээр стандартуудын 32 битийн хувилбарууд нь FAQ бичих үед хамгийн түгээмэл слотууд байсан. Ашигласан үүрүүд нь 32 бит, 5 В.
Эдгээр стандартын дагуу хийсэн өргөтгөлийн картууд нь бүх нийтийн холбогчтой бөгөөд бараг бүх төрлийн PCI автобусны үүрэнд, мөн зарим тохиолдолд 2.1 үүрэнд ажиллах боломжтой.

PCI 2.3- PCI автобусны ерөнхий стандартын дараагийн хувилбар болох 5V түлхүүр бүхий 32 битийн слотуудыг үргэлжлүүлэн ашиглаж байгаа хэдий ч энэ стандартад нийцсэн өргөтгөлийн үүрүүд нь PCI 5V картуудтай нийцэхгүй байна. Өргөтгөх картууд нь бүх нийтийн холбогчтой боловч өмнөх хувилбаруудын 5V үүрэнд ажиллах боломжгүй (2.1 хүртэл).
Тэжээлийн хүчдэл (дохио биш!) 5V нь PCI автобусны холбогч бүх хувилбаруудад хадгалагддаг гэдгийг бид танд сануулж байна.

PCI 64- 2.1 хувилбарт нэвтрүүлсэн үндсэн PCI стандартын өргөтгөл нь өгөгдлийн шугамын тоог хоёр дахин нэмэгдүүлж, улмаар дамжуулах чадварыг нэмэгдүүлсэн. PCI64 оролт нь ердийн PCI слотын өргөтгөсөн хувилбар юм. Албан ёсоор 64 битийн үүртэй 32 битийн картуудын нийцтэй байдал (нийтлэг дэмжигдсэн дохионы хүчдэл байгаа тохиолдолд) бүрэн дүүрэн, 32 битийн үүртэй 64 битийн картын нийцтэй байдал хязгаарлагдмал (ямар ч тохиолдолд байдаг) гүйцэтгэлийн алдагдал байх болно), тодорхой тохиолдол бүрийн тодорхой өгөгдлийг төхөөрөмжийн техникийн үзүүлэлтээс олж болно.
PCI64-ийн анхны хувилбарууд (PCI 2.1-ээс гаралтай) нь 64 битийн 5V PCI оролтыг ашигласан бөгөөд 33 МГц цагийн хурдтай ажилладаг байв.

PCI 66- 2.1 хувилбар дээр гарсан PCI стандартын өргөтгөл нь PCI64 шиг 66 МГц давтамжийг дэмждэг бөгөөд энэ нь зурвасын өргөнийг хоёр дахин нэмэгдүүлэх боломжийг олгодог. 2.2 хувилбараас эхлэн энэ нь 3.3V слотуудыг ашигладаг (32 битийн хувилбар нь компьютер дээр бараг байдаггүй), картууд нь бүх нийтийн буюу 3.3V хэлбэрийн хүчин зүйлтэй байдаг. (5V 66MHz PC-ийн зах зээл дээр ховор тохиолддог 2.1 хувилбар дээр суурилсан шийдлүүд бас байсан; ийм үүр, самбарууд нь зөвхөн бие биентэйгээ нийцдэг)

PCI 64/66- дээр дурдсан хоёр технологийн хослол нь үндсэн PCI стандарттай харьцуулахад өгөгдөл дамжуулах хурдыг 4 дахин нэмэгдүүлэх боломжийг олгодог бөгөөд зөвхөн бүх нийтийн болон 3.3V 32-бит өргөтгөлийн карттай нийцдэг 64-битийн 3.3V оролтыг ашигладаг. PCI64/66 стандарт картууд нь бүх нийтийн (32 битийн оролттой таарахгүй) эсвэл 3.3 В хэлбэрийн хүчин зүйлтэй (сүүлийн сонголт нь түгээмэл стандартуудын 32 битийн 33 МГц оролттой үндсэндээ нийцэхгүй байна)
Одоогоор PCI64 гэсэн нэр томъёо нь PCI64/66 гэсэн утгатай, учир нь 33MHz 5V 64 битийн слотууд удаан хугацаанд ашиглагдаагүй байна.

PCI-X 1.0- 100 ба 133 МГц гэсэн хоёр шинэ үйлдлийн давтамжийг нэмсэн PCI64 өргөтгөл, түүнчлэн олон төхөөрөмжийг нэгэн зэрэг ажиллуулах үед гүйцэтгэлийг сайжруулах тусдаа гүйлгээний механизм. Ерөнхийдөө бүх 3.3V болон ерөнхий PCI картуудтай нийцтэй.
PCI-X картууд нь ихэвчлэн 64 битийн 3.3B форматаар хийгдсэн бөгөөд PCI64/66 слотуудтай ухрах чадвар нь хязгаарлагдмал байдаг ба зарим PCI-X картууд нь бүх нийтийн форматтай бөгөөд ажиллах чадвартай байдаг (гэхдээ энэ нь бараг практик ач холбогдолгүй юм. ) ердийн PCI 2.2 /2.3.
IN хүнд хэцүү тохиолдлуудСонгосон эх хавтан болон өргөтгөлийн картын хослолын үйл ажиллагаанд бүрэн итгэлтэй байхын тулд та хоёр төхөөрөмжийн үйлдвэрлэгчдийн нийцтэй байдлын жагсаалтыг үзэх хэрэгтэй.

PCI-X 2.0- PCI-X 1.0-ийн чадавхийг цаашид өргөжүүлэх, 266 ба 533 МГц хурдыг нэмж, өгөгдөл дамжуулах (ECC) үед паритын алдааг засах. Зөвхөн суулгагдсан болон үйлдвэрлэлийн системд ашиглагддаг 4 бие даасан 16 битийн автобус болгон хуваах боломжийг олгодог бөгөөд дохионы хүчдэл 1.5V хүртэл буурсан боловч холбогч нь 3.3V дохионы хүчдэлийг ашигладаг бүх картуудад буцаж нийцдэг.

PCI-X 1066/PCI-X 2133- 10 ба 40 Гбит Ethernet адаптеруудыг холбоход зориулагдсан 1066 ба 2133 МГц давтамжтай PCI-X автобусны ирээдүйн хувилбарууд.

Бүх PCI-X автобусны сонголтуудын хувьд автобус бүрт холбогдсон төхөөрөмжийн тоонд дараах хязгаарлалтууд байдаг.
66 МГц - 4
100 МГц - 2
133 МГц - 1 (2, хэрэв нэг эсвэл хоёр төхөөрөмж өргөтгөх самбар дээр байхгүй, гэхдээ хянагчтай хамт нэг самбар дээр аль хэдийн нэгдсэн бол)
266.533 МГц ба түүнээс дээш -1.

Тийм ч учраас зарим тохиолдолд хэд хэдэн суулгасан төхөөрөмжийн тогтвортой ажиллагааг хангахын тулд ашигласан PCI-X автобусны хамгийн их ажиллах давтамжийг хязгаарлах шаардлагатай байдаг (ихэвчлэн үүнийг холбогчоор хийдэг)

CompactPCI- Үйлдвэрийн болон суулгагдсан компьютерт ашигладаг холбогч ба өргөтгөлийн картуудын стандарт. Механикийн хувьд "нийтлэг" стандартуудын аль нэгэнд тохирохгүй.

MiniPCI- зөөврийн компьютерт (ихэвчлэн утасгүй сүлжээний адаптеруудад ашиглагддаг) болон гадаргуу дээр шууд холбох самбар ба холбогчдод зориулсан стандарт. Мөн өөрөөсөө өөр зүйлтэй механик нийцэхгүй.

PCI өргөтгөлийн картуудын төрлүүд:

Стандартын хувилбараас хамааран карт ба үүрний дизайны хураангуй хүснэгт:

Хувилбар, дизайнаас хамааран карт ба үүрний нийцтэй байдлын хураангуй хүснэгт:

Картууд
Слотууд PCI 2.0/2.1 5B Бүх нийтийн PCI 2.1 PCI 2.2/2.3 бүх нийтийн PCI64/5B
(33 МГц)		 PCI64/бүх нийтийн PCI64/3.3B PCI-X/3.3B Бүх нийтийн PCI-X
PCI 2.0 Тохиромжтой Тохиромжтой Тохиромжгүй Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал Тохиромжгүй
PCI 2.1 Тохиромжтой Тохиромжтой Хязгаарлагдмал нийцтэй байдал Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал Тохиромжгүй
PCI 2.2 Тохиромжтой Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал Тохиромжгүй Тохиромжгүй Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал
PCI 2.3 Тохиромжгүй Хязгаарлагдмал нийцтэй байдал Тохиромжтой Тохиромжгүй Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал Тохиромжгүй Тохиромжгүй Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал
PCIB
64/5Б(33МГц) 		Тохиромжтой Тохиромжтой Хязгаарлагдмал нийцтэй байдал Тохиромжтой Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал Тохиромжгүй Тохиромжгүй Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал
PCI64/3.3B Тохиромжгүй Хязгаарлагдмал нийцтэй байдал Тохиромжтой Тохиромжгүй Тохиромжтой Тохиромжтой Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал Гүйцэтгэлийн алдагдал бүхий хязгаарлагдмал нийцтэй байдал
PCI-X Тохиромжгүй Хязгаарлагдмал нийцтэй байдал Тохиромжтой Тохиромжгүй Тохиромжтой

Мобайл төлбөрийн шийдлүүд дэлхийн зах зээлд тэр дундаа манай улсад хараахан өргөн хүрээгүй байна. Гэсэн хэдий ч финтек хөгжүүлэгчид, бизнес эрхлэгчид, худалдаа үйлчилгээний байгууллагуудын ийм шийдлүүдийн сонирхол жил бүр нэмэгдэж байна.

Андрей Гайко
Мэргэшсэн QSA дижитал аюулгүй байдлын аудитор

mPOS гэж юу вэ

Гар утасны төлбөрийн шийдэл (mPOS) нь дараах үндсэн бүрэлдэхүүн хэсгүүдээс бүрдэнэ.

  • хөдөлгөөнт төхөөрөмж - уншигч холбогдсон ухаалаг утас эсвэл таблет;
  • Хөдөлгөөнт төхөөрөмжийн төлбөрийн програм - интерфейсээр дамжуулан худалдагч нь төлбөр хийх мэдээллийг оруулж, боловсруулалт хийх замаар өгөгдөл солилцдог програм хангамж юм. Мөн энэхүү программ хангамжаар дамжуулан карт эзэмшигчийг гарын үсгээр баталгаажуулах боломжтой;
  • уншигч – хоёр төрлийн унших төхөөрөмж байдаг: Pin Entry Device (PED), карт уншигч, PIN код оруулах төхөөрөмж. Bluetooth, аудио залгуур эсвэл мини-USB-ээр хөдөлгөөнт төхөөрөмжид холбогддог; Secure Card Reader (SCR), карт унших төхөөрөмж. Ихэвчлэн хөдөлгөөнт төхөөрөмжид аудио залгуураар холбогддог.

Мобайл төлбөрийн шийдэл гэж бид худалдаа, үйлчилгээний аж ахуйн нэгжүүдэд зориулсан програм хангамж, техник хангамжийн платформ (цаашид TSP гэх) гэсэн үг бөгөөд энэ нь төлбөрийг хүлээн авах боломжийг олгодог. хувь хүмүүсухаалаг утас/таблет болон түүнд холбогдсон уншигчаар дамжуулан. mPOS-ийг ашигласнаар контактгүй аргаар (банкны картыг суулгасан) төлбөрийг хүлээн авах боломжтой гар утас NFC дэмжлэгтэй үйлчлүүлэгч (цаашид NFC карт гэх), эсвэл холбоо барихгүй банкны карт), мөн тогтмол хуванцар картууд(соронзон тууз ба/эсвэл EMV чиптэй).

Картыг аюулгүй унших, ПИН код оруулах функцээс гадна mPOS нь карт эзэмшигчийн баталгаажуулалтын бүх үндсэн аргуудыг дэмжих, системийн бүрэлдэхүүн хэсгүүд болон боловсруулах хэсэг хооронд дамжуулах явцад өгөгдлийг шифрлэх, мөн төлбөрийн баримт хэвлэх, илгээх чадварыг дэмжих ёстой. SMS болон цахим шуудан.

mPOS төлбөрийн мэдээлэл хүлээн авах, цаашдын боловсруулалт хийх үүрэгтэй үйлчилгээ үзүүлэгч эсвэл хүлээн авагч банкны талд интернет эсвэл ердийн POS худалдан авахад ашигладагтай адил арын систем (төлбөрийн гарц) ашигладаг.

Аюулгүй байдлын ямар шаардлагыг хангах ёстойг ойлгохын тулд mPOS экосистемийн үндсэн бүрэлдэхүүн хэсгүүд болон одоо байгаа мэдээллийн урсгалыг техникийн түвшинд тодорхойлох шаардлагатай. Бизнесийн түвшинд төлбөрийн аюулгүй байдлын төлөө mPOS экосистемийн оролцогчдын хариуцлагыг ойлгохын тулд төлбөрийн үйл явцад оролцогчдын одоо байгаа бизнесийн загварыг тодорхойлох шаардлагатай.

Мэдээллийн урсгалын диаграмм нь 8 үндсэн үе шатыг агуулна (1-р зургийг үз):

  • үе шат 1. Худалдааны ажилтан унших төхөөрөмжийг интернетийн холболттой хөдөлгөөнт төхөөрөмж (ухаалаг утас эсвэл таблет) руу холбодог. Тусгай гар утасны програм ажиллуулж, худалдан авалтын мэдээлэл, төлбөрийн хэмжээг оруулна;
  • үе шат 2. Үйлчлүүлэгч оруулах, өнхрөх эсвэл авчрах банкны картунших төхөөрөмж рүү. NFC картын хувьд үйлчлүүлэгч ухаалаг утсан дээрээ Wallet програмыг нээж, хүчинтэй банкны картыг сонгоод ухаалаг утсаа уншигчид авчирдаг. Картанд заасан параметрүүдээс хамааран PIN код оруулахыг танаас хүсэх болно. Энэ тохиолдолд үйлчлүүлэгч PIN кодыг уншигчид суулгаж болох PIN дэвсгэр ашиглан оруулна;
  • үе шат 3. Уншигч нь картын өгөгдлийг уншиж, шифрлэж, худалдааны ажилтны хөдөлгөөнт төхөөрөмж рүү шилжүүлэх;
  • үе шат 4. Ажилтны гар утасны төхөөрөмж нь төлбөрийн гарц руу шифрлэгдсэн өгөгдлийг илгээж, төлбөрийн гарцаас өгөгдлийг хүлээн авах систем рүү шилжүүлдэг. Тохиргооноос хамааран картын мэдээллээс гадна mPOS, гүйлгээ, худалдан авсан бүтээгдэхүүн, үйлчилгээний талаарх мэдээллийг нэмж дамжуулах боломжтой;
  • үе шат 5. Эквайрингийн системээс зөвшөөрөл авах хүсэлтийг MPS-д дамжуулна. Хүсэлтийг боловсруулсны дараа үр дүнг (хүлээн зөвшөөрсөн эсвэл татгалзсан) хүлээн авах систем рүү буцаана. Төлбөрт ашигласан картыг эквайринг явуулж буй банкнаас олгосон бол хүсэлтийг Төмөр замын яаманд шилжүүлэхгүй;
  • үе шат 6. Зөвшөөрлийн хүсэлтийн үр дүнг хөдөлгөөнт төхөөрөмжид дамжуулна;
  • Алхам 7. Хэрэв карт эзэмшигчийн гарын үсэг шаардлагатай бол гар утасны програмхаргалзах маягт гарч ирэх ба үйлчлүүлэгч гарын үсэг зурах (зүүг эсвэл хуруугаараа);
  • үе шат 8. Худалдааны ажилтан нь мобайл төлбөрийн аппликейшн дээр үйлчлүүлэгч рүү чек илгээх аргыг сонгодог. SMS, цахим шуудангаар илгээх эсвэл орон нутгийн кассын төхөөрөмж рүү хэвлэх боломжтой.

Дээр дурдсан үйл явцыг хэрэгжүүлэхэд дараахь компаниуд оролцож болно.

  • mPOS төхөөрөмж хөгжүүлэгчид – картын өгөгдөл болон ПИН кодыг найдвартай уншдаг техник хангамжийг боловсруулж үйлдвэрлэх;
  • гар утасны төхөөрөмж ба/эсвэл төлбөрийн гарцын төлбөрийн программ хангамжийг хөгжүүлэгчид – худалдаачдад зориулсан үйлчлүүлэгчийн программ хангамж, магадгүй төлбөрийн гарцын програм хангамжийг хөгжүүлэх;
  • платформ хөгжүүлэгчид – mPOS шийдлийн үйлчилгээ үзүүлэгч эсвэл худалдан авагчдад цаашид худалдах зорилгоор mPOS шийдлийн нэг техник хангамж, програм хангамжийн хэсгийг бүтээдэг хөгжүүлэлтийн компаниуд;
  • mPOS шийдлийн үйлчилгээ үзүүлэгчид нь худалдаачдад зориулсан эцсийн бүтээгдэхүүн үйлдвэрлэдэг компаниуд юм. Компаниуд энэ төрлийнбанкууд эсвэл төлбөрийн зуучлагч гэж нэрлэгддэг (төлбөрийн зуучлагч) худалдан авч байна. Эдгээр компаниуд гар утасны төлбөрийн шийдлийн бүх бүрэлдэхүүн хэсгүүдийг бие даан боловсруулж, эсвэл өөр өөр үйлдвэрлэгчдээс тусдаа бүрэлдэхүүн хэсгүүдийг лицензжүүлж, өөр хоорондоо нэгтгэх боломжтой. Төлбөрийн зуучлагч банкуудыг эс тооцвол үйлчилгээ үзүүлэгч болон худалдаачин хоёрын хооронд байдаг. Тэдний үйлчлүүлэгчид нь худалдаачид бөгөөд худалдан авагч банктай харилцах нь ил тод үйл явц болдог, учир нь худалдаачинтай хийх төлбөр тооцоог төлбөрийн зуучлагч хариуцдаг;
  • дистрибьюторууд - янз бүрийн үйлдвэрлэгчдийн тодорхой mPOS шийдлүүдийг зах зээл дээр сурталчилж, худалдаачдын mPOS шийдлүүдийг дахин борлуулах үүргийг гүйцэтгэдэг компаниуд;
  • төлбөрийн үйлчилгээ үзүүлэгч (боловсруулах компани, төлбөрийн гарц) – mPOS шийдлийн үйлчилгээ үзүүлэгч болон хүлээн авагч банкны хооронд зуучлагчийн үүрэг гүйцэтгэдэг компани. Энэ нь хангадаг мэдээллийн харилцан үйлчлэлхудалдаачин ба хүлээн авагчийн хөдөлгөөнт төхөөрөмжийн хооронд;
  • эквайрер - Төлбөрийн зөвшөөрөл олгох, MPS-д холбогдсон эквайрингийн банк эсвэл боловсруулах төв. Худалдаачидтай төлбөр тооцоо хийхэд mPOS шийдлийн үйлчилгээ үзүүлэгчид хамтран ажилладаг банкуудыг худалдан авах боломжтой.

Компани эдгээр үүргүүдийн нэгээс илүүг гүйцэтгэх боломжтой гэдгийг тэмдэглэх нь зүйтэй. Компани нь mPOS шийдлийн бүх програм хангамж, техник хангамжийн бүрэлдэхүүн хэсгүүдийг бүрэн боловсруулж чаддаг байх боломжтой. Тухайн компани ямар чиг үүргийг гүйцэтгэхээс шалтгаалж аюулгүй байдлын ямар шаардлагыг биелүүлэх ёстой вэ гэдгээс хамаарна.

mPOS экосистемийн бүх оролцогчдын дунд аюулгүй байдлын шаардлагыг хангах үүрэг хариуцлагыг хэрхэн тодорхойлох ёстойг ойлгохын тулд бизнесийн загваруудын үндсэн бүрэлдэхүүн хэсэг, төрлүүдийн жагсаалтыг оруулсан болно.

Баталгаажуулалтын төрлүүд

Мобайл төлбөрийн шийдлүүдийн аюулгүй байдлын анхны удирдамжийг 2011 онд Visa гаргасан. Эдгээр нь гар утасны төлбөрийн шийдлүүдийг ашиглах аюулгүй байдлын талаархи хөгжүүлэгчид болон худалдаачдад зориулсан ерөнхий зөвлөмжийг агуулсан болно. 2012 онд PCI SSC нь хөгжүүлэгчдэд илүү нарийвчилсан зөвлөмжийг гаргасан. Өнөөдөр IPS болон PCI SSC нь бараг жил бүр mPOS аюулгүй байдлын зөвлөмжийг шинэчилдэг.

Зөвлөмжөөс гадна Visa болон MasterCard нь гар утасны төлбөрийн шийдлийн үйлчилгээ үзүүлэгчдэд зориулсан гэрчилгээжүүлэх хөтөлбөрүүдийг боловсруулсан. Үнэн хэрэгтээ, хоёр хөтөлбөр нь нэлээд төстэй бөгөөд өндөр магадлалтайгаар MPS-ийн аль нэгний шаардлагын дагуу шийдлийг боловсруулах нь нөгөөгөөр нь баталгаажуулж болно гэж хэлж болно. MPS хоёулаа баталгаажсан компаниуд болон mPOS шийдлүүдийн бүртгэлийг хөтөлдөг.

PCI SSC стандартууд

PCI DSS
Стандартын шинэ хувилбар нь mPOS-ийн аюулгүй байдалд онцгой хамааралтай шинэ шаардлагуудтай. Тодруулбал, 9-р хэсэгт карт унших төхөөрөмжийн бүртгэл хөтлөх, мөн төхөөрөмжид үйлчилгээ үзүүлж буй ажилчид/хэрэглэгч нарт mPOS солих болон бусад шинж тэмдгийг илрүүлэх зорилгоор үе үе сургалт явуулах шаардлагатай гэсэн 9.9-ийг нэмж оруулсан. mPOS шийдлүүдийн үйлчилгээ үзүүлэгч эсвэл худалдан авагч компаниудын хувьд унших төхөөрөмжөөр үйлчлүүлэгчдэдээ өгөхдөө skimming-ээс хамгаалах зөвлөмж, заавар боловсруулж, худалдааны ажилчдын анхааралд хүргэх шаардлагатай болно. 12.8-д заасан шаардлагыг биелүүлэх ажлын хүрээнд үйлчилгээ үзүүлэгч болон хүлээн авагчдыг түвшинд гэрээний харилцаа mPOS аюулгүй байдлын холбогдох шаардлагыг дагаж мөрдөхийг худалдаачдад үүрэг болгож болно.

Аюулгүй байдлын ихэнх шаардлагуудыг хэрэгжүүлэх нь янз бүрийн үйлчилгээ үзүүлэгч болон банкуудад хамаардаг хэдий ч худалдан авагч банкууд худалдаачдаас зохих төрлийн өөрийн үнэлгээний хуудас (SAQ) бөглөхийг шаардах эрхтэй (хэрэв ийм тохиолдолд SAQ P2PE-HW). P2PE шийдлийг ашигладаг худалдаачин, PCI PTS сертификаттай уншигчтай mPOS ашиглах тохиолдолд SAQ B-IP). Хүснэгтэнд mPOS шийдлүүдийн бүрэлдэхүүн хэсгүүд, бүрэлдэхүүн хэсэг нь хангасан байх ёстой стандарт, шаардлагыг хэрэгжүүлэх үүрэгтэй компанийг тодорхойлсон.

12.8-р шаардлага нь үйлчилгээ үзүүлэгчийн mPOS шийдлийн программ хангамжийг боловсруулсан тохиолдолд мөн хамааралтай болно. гуравдагч этгээд. Энэ тохиолдолд 6.5-р шаардлагыг дагаж мөрдөх нь хөгжлийн компанийн мөрөн дээр бүрэн хамаарна. Түүгээр ч зогсохгүй, хөгжүүлэлтийн компани шаардлагад нийцэхгүй бол үйлчилгээ үзүүлэгч нь PCI DSS нийцлийн аудитыг давах боломжгүй болно. Үйлчилгээ үзүүлэгч (худалдан авагч) болон хөгжүүлэгчдийн хооронд байгуулсан гэрээнд үйлчилгээ үзүүлэгч жил бүр PCI DSS баталгаажуулалтад хамрагдсан тохиолдолд хөгжүүлэгч компанийн зарим бизнесийн үйл явцад аудит хийх асуудлыг тусгасан байх ёстой. боловсруулах үйл явцыг үйлчилгээ үзүүлэгчийн аудитын хамрах хүрээнд оруулна. Бусад үйлчилгээг аутсорсинг хийх тохиолдолд ч мөн адил. IN ерөнхий тохиолдолГуравдагч этгээдийн PCI DSS-ийн шаардлагад нийцэж байгаа эсэхийг баталгаажуулах нь PCI DSS-ийн дагуу шаардлагатай бизнесийн үйл явцыг өөрөө баталгаажуулж, дараа нь амжилттай дууссан баталгаажуулалтын гэрчилгээг өгөх эсвэл бизнест аудит хийх боломжийг олгох замаар баталгаажуулж болно. үйлчилгээ үзүүлэгчийн (худалдан авагч) аудитын нэг хэсэг болох үйл явц.

Манай улсад үйлчлүүлэгч компанид хийсэн аудитын нэг хэсэг болох хөгжүүлэгчдэд аудит хийх нь маш ховор тохиолддог гэдгийг анхаарна уу. Хөгжүүлэгчид аюулгүй хөгжлийн аргуудын мэдлэг, хэрэглээг амаар баталгаажуулж болох боловч үнэн хэрэгтээ шаардлагатай мэдлэггүй, зохих журмыг дагаж мөрддөггүй. PCI DSS-ийн шинэ хувилбар гарснаар нөхцөл байдал өөрчлөгдөх ёстой, учир нь шаардлагууд нарийвчилсан болж, стандартын текстэд заасан баталгаажуулах журам нь QSA аудиторыг илүү нарийвчилсан шалгалт хийхийг үүрэг болгож байна.

PCI PTS
PCI PTS стандарт нь харилцан үйлчлэлийн цэгийн төхөөрөмжүүд (POI) болон техник хангамжийн аюулгүй байдлын модулиудын (HSM) аюулгүй байдлын шаардлагыг зохицуулдаг. Хөдөлгөөнт төхөөрөмжид холбогдсон уншигч нь POI юм. Дээр дурдсанчлан mPOS шийдлүүд нь POI-ийн хоёр ангиллыг ашигладаг: PIN Entry Device (PED) болон Secure Card Reader (SCR). Унших төхөөрөмж нь ямар төрлийн POI-д хамаарахаас хамааран PCI PTS-ийн шаардлагуудын бүлгүүд төхөөрөмж нь дагаж мөрдөх ёстойг тодорхойлдог.


Одоогийн байдлаар дотоодын зах зээлд санал болгож буй mPOS шийдлүүдийн зарим нь нэргүй үйлдвэрлэгчдийн уншигчдыг ашигладаг. Ийм уншигчийг ашиглах нь төхөөрөмжүүдийн хооронд найдвартай өгөгдөл дамжуулах баталгаа болохгүй бөгөөд картын дугаарыг тодорхой текстээр гар утасны төхөөрөмж рүү шилжүүлэх боломжтой болгодог. Тиймээс mPOS шийдлийг сонгохдоо үйлчилгээ үзүүлэгч нь PCI PTS сертификаттай уншигчийг санал болгож байгаа эсэхийг шалгах хэрэгтэй.

Үйлчлүүлэгчийн програм хангамжийг хөгжүүлэх хоёр бизнесийн загвар байдаг: өөрийн төсөлд зориулсан хөгжүүлэлт, хөгжүүлэгч нь mPOS шийдлийг бүтээж, өөрийн брэндээр зах зээлд гаргах үед: энэ тохиолдолд хөгжүүлэгч нь mPOS шийдлийн үйлчилгээ үзүүлэгч байх болно; – өөр өөр үйлдвэрлэгчдийн бүрэлдэхүүн хэсгүүдийг хооронд нь нэгтгэж, тэдгээрт үндэслэн өөрсдийн mPOS шийдлүүдийг бий болгодог компаниудын цаашдын лицензийн эцсийн шийдлийг боловсруулах.

PA-DSS
mPOS шийдлүүдийн хувьд PA-DSS in заавал байх ёстойкартын өгөгдлийг уншдаг төхөөрөмжүүдийн програм хангамжид хамаарна. Худалдааны ажилтны гар утасны төхөөрөмж дээр суулгасан програм хангамжийн хувьд энэ стандарт нь зөвлөмж юм. Энэ нь хөдөлгөөнт төхөөрөмж нь найдваргүй, хяналт муутай орчинтой холбоотой юм. Жишээлбэл, төхөөрөмж jailbroken байж болох бөгөөд энэ нь төхөөрөмжийн аюулгүй байдлыг дарааллаар нь бууруулж, суулгасан төлбөрийн програмын аюулгүй байдлыг баталгаажуулдаггүй. Тийм ч учраас MPS нь гар утасны төхөөрөмж ашиглан ПИН код оруулахыг хориглож, унших төхөөрөмжөөс өгөгдлийг гар утасны программ хангамжид шифрлэгдсэн хэлбэрээр ирж, дараа нь хүлээн авагч компанид ижил хэлбэрээр дамжуулахыг шаарддаг. Энэ тохиолдолд төлбөрийн картын өгөгдлийг гар утасны төхөөрөмж дээр тодорхой текстээр боловсруулж, хадгалахгүй тул PA-DSS-ийн шаардлага үйлчлэхгүй.

Стандартын 3.0 хувилбарт унших төхөөрөмж болон хайрцагласан төлбөрийн программ хангамжийг хөгжүүлэгчид хамгийн түрүүнд анхаарах ёстой шинэ шаардлага гарч ирэв. Нэгдүгээрт, гаргасан шинэчлэлт бүр тусдаа баталгаажуулалтад хамрагдах ёстой. Хоёрдугаарт, одоо хэрэглэгчид зөвхөн PCI Зөвлөлийн вэбсайтад баталгаажсан, жагсаалтад орсон програм хангамжийн хувилбаруудыг (шинэчлэлтүүдийг) ашиглах ёстой.


PCI P2PE
Харьцангуй саяхан хэвлэгдсэн шинэ стандарт PCI P2PE аюулгүй байдал. Энэхүү стандарт нь төлбөрийн шийдлийн бүх бүрэлдэхүүн хэсгүүдийн хооронд шилжих үед өгөгдлийг криптографийн хамгаалалтаар хангадаг шийдлүүдэд зориулагдсан болно. Хэрэв шифрлэлт ашигладаг бол худалдаачид карт эзэмшигчдийн талаарх мэдээллийг тодорхой текстээр авах боломжгүй тул худалдаачдад стандартын хамрах хүрээ хамгийн бага хэмжээнд хүртэл нарийсдаг.

mPOS экосистемийн бүх үндсэн бүрэлдэхүүн хэсгүүдийн жагсаалтад дараахь зүйлс орно.

  • уншигч;
  • гар утасны төхөөрөмжийн төлбөрийн програм;
  • төлбөрийн гарц;
  • MPS-д холбогдсон эквайрингийн систем.

Зөвхөн мэдээллийн дэд бүтцэд хамаарах PCI DSS-ээс ялгаатай нь PCI P2PE нь илүү өргөн цар хүрээтэй бөгөөд зөвхөн дэд бүтцэд төдийгүй POI терминалуудын унших төхөөрөмж, програм хангамжид хамаарна (mPOS програмын хувьд эдгээр нь унших төхөөрөмж юм). Стандарт нь 6 домайнаас бүрдэх бөгөөд тэдгээрийн шаардлага нь одоогийн PCI стандартууд дээр суурилдаг: уншигч төхөөрөмжүүд нь PCI PTS SRED-ийн шаардлагыг хангасан байх ёстой; уншигч програм хангамж - PA-DSS; шифрлэлтийн түлхүүрийн удирдлага - PCI PIN аюулгүй байдлын шаардлага; худалдаачдын төлбөрийн мэдээллийн дэд бүтэц - PCI DSS. Хэрэв шийдэл нь PCI P2PE сертификаттай бол энэ нь бүх дэд системүүдийн хооронд өгөгдөл (уншигчаас програм хангамжийн хөдөлгөөнт төхөөрөмж, програм хангамжаас боловсруулалт болон цаашилбал) шифрлэгдсэн хэлбэрээр дамждаг бөгөөд бүх дэд системүүд нь стандартын шаардлагад нийцдэг гэсэн үг юм. холбогдох PCI стандартууд.

Тусдаа бүрэлдэхүүн хэсгүүд болон иж бүрэн шийдлүүдийг P2PE шаардлагын дагуу баталгаажуулж болно.

IPS нь mPOS төлбөрийг хүлээн авахын тулд P2PE шийдлүүдийг ашиглахыг зөвлөж байна. Гэсэн хэдий ч бэрхшээл нь одоогоор зах зээл дээр ийм төрлийн шийдэл цөөхөн байгаа тул MPS шаардлагагүй, харин PCI P2PE шийдлүүдийг ашиглахыг зөвлөж, тэдгээрийг боловсруулахдаа удирдан чиглүүлэхийг зөвлөж байна. Гэсэн хэдий ч mPOS төлбөрийн шийдлүүдийн үйлчилгээ үзүүлэгчид удахгүй MPS нь PCI P2PE шаардлагын дагуу mPOS шийдлүүдийг заавал баталгаажуулах шаардлагатай болно гэдэгт бэлэн байх хэрэгтэй.


PCI DSS (Төлбөрийн картын салбарын мэдээллийн аюулгүй байдлын стандарт) нь төлбөрийн карт эзэмшигчийн талаарх мэдээллийг боловсруулах, дамжуулах, хадгалах явцад түүний аюулгүй байдлыг хангах дүрмийг тодорхойлсон баримт бичиг юм.

PCI DSS стандартыг Төлбөрийн картын салбарын аюулгүй байдлын стандартын зөвлөл (PCI SSC) боловсруулсан. PCI SSC нь олон улсын тэргүүлэх төлбөрийн системүүд болох Visa, MasterCard, American Express, JCB, Discover үүсгэн байгуулагдсан. PCI SSC нь үйл ажиллагааныхаа мэдээллийг вэбсайтдаа нийтэлдэг.

PCI DSS стандартын шаардлага нь төлбөрийн карт эзэмшигчдийн талаарх мэдээллийг боловсруулдаг байгууллагуудад хамаарна. Хэрэв тухайн байгууллага тухайн жилийн хугацаанд дор хаяж нэг картын гүйлгээ, төлбөрийн карт эзэмшигчийн мэдээллийг хадгалдаг, боловсруулдаг, дамжуулдаг бол PCI DSS стандартын шаардлагыг хангасан байх ёстой. Ийм байгууллагын жишээ бол худалдаа, үйлчилгээний аж ахуйн нэгжүүд (жижиглэнгийн дэлгүүр, цахим худалдааны үйлчилгээ), түүнчлэн картын мэдээллийг боловсруулах, хадгалах, дамжуулахтай холбоотой үйлчилгээ үзүүлэгч (боловсруулах төв, төлбөрийн гарц, дуудлагын төв, хадгалах хэрэгсэл) юм. нөөц хуулбаруудөгөгдөл, картын хувийн тохиргоонд оролцдог байгууллагууд гэх мэт).

Мэдээллийн дэд бүтцээ PCI DSS-ийн шаардлагад нийцүүлснээр та картын мэдээлэл боловсруулах орчны аюулгүй байдлын түвшинг нэмэгдүүлэх болно. Ингэснээр та мэдээллийн аюулгүй байдлын зөрчлөөс үүдэн санхүүгийн алдагдалд орох эрсдэлийг бууруулж, олон улсын төлбөрийн системийн энэхүү стандартыг дагаж мөрдөх шаардлагыг биелүүлэх болно.

PCI DSS стандартын шаардлагыг дагаж мөрдөх гол зорилго нь мэдээллийн дэд бүтцийн аюулгүй байдлын түвшинг нэмэгдүүлэх явдал бөгөөд иймээс уг стандартыг боловсруулсан болно. Эндээс бид стандарт нь мэдээллийнхээ аюулгүй байдлын талаар боддог хүн бүрт хэрэг болно гэж дүгнэж болно.

PCI DSS стандарт нь 12 сэдэвчилсэн хэсэгт хуваагдсан мэдээллийн аюулгүй байдлын нарийвчилсан шаардлагыг агуулдаг.

  • галт хана ашиглах;
  • тоног төхөөрөмжийг суурилуулах дүрэм;
  • төлбөрийн карт эзэмшигчдийн хадгалагдсан мэдээллийг хамгаалах;
  • өгөгдөл дамжуулахдаа криптографийн хамгаалалтын хэрэгслийг ашиглах;
  • вирусын эсрэг эм хэрэглэх;
  • програмууд болон системийн аюулгүй хөгжүүлэлт, дэмжлэг;
  • хэрэглэгчийн өгөгдөлд хандах хандалтыг удирдах;
  • дансны удирдлага;
  • бие махбодийн аюулгүй байдлыг хангах;
  • мэдээллийн аюулгүй байдлын хяналт;
  • системийг тогтмол турших;
  • мэдээллийн аюулгүй байдлын бодлогыг боловсруулах, дэмжих.

PCI DSS стандарт нь тодорхой техникийн шийдэл, техник хангамжийн загвар, програм хангамжийн хувилбарыг ашиглах шаардлагыг агуулаагүй болно. PCI DSS нь мэдээллийн аюулгүй байдлын үйл явцыг зохион байгуулах, мэдээллийн аюулгүй байдлын хэрэгслийн ажиллагаа, тэдгээрийн тохиргоо, хэрэглээний тохиргоонд тавигдах шаардлагыг тавьдаг.

Та PCI DSS стандартын одоогийн 1.2 хувилбарыг татаж авах боломжтой.

Бүх PCI DSS шаардлагууд заавал байх ёстой. Мэдээллийн дэд бүтцийн зарим бүрэлдэхүүн хэсэг байхгүйгээс зарим шаардлага танай байгууллагад хамаарахгүй байж магадгүй, жишээлбэл, хэрэв та утасгүй сүлжээ ашигладаггүй бол танай компани утасгүй сүлжээний аюулгүй байдлын шаардлагад хамаарахгүй. Хэрэв та хууль тогтоомж, бизнесийн үйл явц, технологиос тогтоосон хязгаарлалтын улмаас стандартын тодорхой шаардлагыг хангаж чадахгүй бол нөхөн олговор олгох арга хэмжээг ашиглаж болно. Нөхөн олговор олгох арга хэмжээг сонгох үндсэн дүрэм нь хязгаарлалтын улмаас хангаж чадахгүй байгаа стандартын шаардлагатай ижил эрсдэлийг бууруулах ёстой.

PCI DSS стандартын шаардлага нь төлбөрийн карт эзэмшигчдийн талаарх мэдээллийг боловсруулах, хадгалах, дамжуулахад ашигладаг системүүд, түүнчлэн тэдэнтэй сүлжээний холболттой системд (холболт нь галт ханаар хамгаалагдаагүй систем) хамаарна.

Тийм ээ, төлбөрийн карт эзэмшигчдийн мэдээллийг боловсруулах, хадгалах, дамжуулахад оролцдог бие даасан АТМ дэд системүүд нь PCI DSS стандартын хүрээнд багтсан болно.

PCI стандарт хөгжихийн хэрээр SSC текстэнд өөрчлөлт оруулж, баримт бичгийн шинэ хувилбаруудыг www.pcisecuritystandards.org вэб сайтад нийтэлдэг. 2008 оны 10-р сарын 1-ээс өнөөг хүртэл PCI DSS стандартын 1.2 хувилбар одоо байгаа.

Олон улсын төлбөрийн системээс тогтоосон PCI DSS шаардлагад нийцэж байгаа эсэхийг шалгах хөтөлбөрүүдийн дагуу хэд хэдэн байгууллагууд жил бүр аудит хийлгэх шаардлагатай байдаг. Нийцлийн туршилтын хөтөлбөрүүд нь худалдаачид болон үйлчилгээ үзүүлэгчдийн хувьд өөр өөр байдаг.

Жилд зургаан сая гаруй картын гүйлгээ хийдэг худалдаачид жил бүр шалгалтад хамрагдах ёстой. Үйлчилгээ үзүүлэгчдийн тухайд, олон улсын төлбөр VISA системЖилд 300,000 гаруй гүйлгээг боловсруулдаг бүх боловсруулах төвүүд болон үйлчилгээ үзүүлэгчдийн аудитыг жил бүр хийх шаардлагатай бөгөөд MasterCard нь жилд нэг сая гаруй гүйлгээг боловсруулдаг бүх боловсруулах төв, үйлчилгээ үзүүлэгчдийг шаарддаг. Дэлгэрэнгүй тодорхойлолт PCI DSS нийцлийн баталгаажуулалтын журмыг эндээс олж болно.

QSA (Qualified Security Assessor) статустай компаниуд PCI DSS стандартын шаардлагад нийцэж байгаа эсэхэд аудит хийх эрхтэй. Ийм статустай компаниудын албан ёсны жагсаалтыг PCI SSC вэбсайтаас авах боломжтой. QSA статустай компани нь баталгаажуулсан QSA аудиторуудыг ажиллуулах ёстой.

Аудитын хугацаа нь PCI DSS стандартын хамрах хүрээний хэмжээ, түүнчлэн компанийн дэд бүтцийн онцлогоос хамаарна. Компанийн сайтад аудит дунджаар гурван өдөр үргэлжилдэг.

Таны мэдээллийн дэд бүтцийн стандартын шаардлагад нийцэж байгаа эсэхэд хийсэн аудитын үр дүнд үндэслэн QSA аудитор нь PCI DSS-ийн шаардлага тус бүрийн хэрэгжилтийн талаарх дэлгэрэнгүй мэдээллийг агуулсан Нийцлийн тайланг бэлтгэнэ. Аудитын үр дүн нь төлбөрийн карт боловсруулах орчны аюулгүй байдлыг сайжруулахын тулд нөөцийг хамгийн түрүүнд хаашаа чиглүүлэх ёстой талаар ойлголт өгөх болно.

Олон улсын төлбөрийн системийн шаардлагын дагуу хэрэв мэдээллийн дэд бүтцэд PCI DSS стандартын шаардлагад нийцэхгүй байгаа бол тэдгээрийг арилгах арга хэмжээний төлөвлөгөө гаргах шаардлагатай. Нийцлийн шалгалт хийсэн QSA аудиторын зөвлөмж нь үйл ажиллагааны төлөвлөгөөг бэлтгэхэд тусална.

Олон улсын төлбөрийн системүүд нь PCI DSS-ийн нийцлийн хөндлөнгийн аудитыг жил бүр хийлгэх шаардлагатай байгууллагуудад торгууль ногдуулдаг.

Энэ тохиолдолд олон улсын төлбөрийн системд жил бүр хөндлөнгийн аудит хийлгэх шаардлагыг биелүүлэхийн тулд аюулгүй байдлын бодлогыг өөрчлөх шаардлагатай бөгөөд энэ нь PCI DSS-ийн дагуу стандартын бүх шаардлагыг харгалзан үзэх ёстой.

Компанийн төлбөрийн дэд бүтэц нь PCI DSS стандартын шаардлагад бүрэн нийцэж байгаа бол аудитын дараа нийцлийн гэрчилгээ олгоно.

Гадны болон дотоод нэвтрэлтийн туршилтыг PCI DSS стандартын 11.3-р шаардлагаар зохицуулдаг. Нэвтрэлтийн тестийг жил бүр, мөн компанийн төлбөрийн дэд бүтцэд томоохон өөрчлөлт хийсний дараа хийх ёстой. Өгөгдсөн халдагчийн загварын дагуу олон эмзэг байдлыг хэрэгжүүлдэг мэргэжилтний нэвтрэлтийн оролдлого нь төлбөрийн орчны аюулгүй байдлын түвшинг тодорхой харуулж байна. Мэргэжилтнээр хийсэн нэвтрэлтийн тест нь автомат сканнертай ямар ч нийтлэг зүйлгүй гэдгийг анхаарна уу.

Зөвшөөрөгдсөн сканнер үйлдвэрлэгч (ASV) компанийн төлбөрийн дэд бүтцийн гадаад периметрийг улирал тутам сканнердах болно. заавал байх хэсэг PCI DSS нийцлийг баталгаажуулах журам. Та PCI DSS-ийн нийцлийг баталгаажуулах журмын нарийвчилсан тайлбарыг олж болно.

Хэрэв та асуултынхаа хариултыг олж чадаагүй бол цөхрөл бүү зов. Үүнийг бидэнд илгээгээрэй, бид аль болох хурдан хариу өгөхийг хичээх болно.

Овог, нэр:

Имэйл:

IN Сүүлийн үед Visa болон MasterCard нь төлбөрийн гарцууд, тэдгээрт холбогдсон худалдаачид болон картын мэдээллийн аюулгүй байдалд нөлөөлж болзошгүй үйлчилгээ үзүүлэгчдээс PCI DSS стандартыг дагаж мөрдөхийг шаардаж байна. Үүнтэй холбогдуулан PCI DSS стандартыг дагаж мөрдөх асуудал нь зөвхөн чухал биш юм гол тоглогчидтөлбөрийн картын үйлдвэрлэл төдийгүй худалдаа үйлчилгээний жижиг аж ахуйн нэгжүүдэд . Энэ нийтлэлд бид PCI DSS баталгаажуулалтын ажилтай тулгарсан байгууллагуудад тулгарч буй гол асуултуудад хариулах болно.


Баталгаажуулалтыг сонирхож буй хүмүүст зориулсан PCI DSS FAQ


# PCI DSS-д хэн хамрагдах вэ?

Юуны өмнө стандарт нь мэдээллийн дэд бүтцийн өгөгдөл хадгалагдаж, боловсруулагдаж, дамжуулагддаг байгууллагуудад тавигдах шаардлагыг тодорхойлдог. төлбөрийн картууд, түүнчлэн энэ мэдээллийн аюулгүй байдалд нөлөөлж болзошгүй байгууллагуудад. Стандартын зорилго нь тодорхой бөгөөд төлбөрийн картын аюулгүй байдлыг хангах явдал юм. 2012 оны дунд үеэс эхлэн DPC-г хадгалах, боловсруулах, шилжүүлэх үйл явцад оролцож буй бүх байгууллагууд PCI DSS шаардлагыг дагаж мөрдөх ёстой бөгөөд тухайн нутаг дэвсгэрт байгаа компаниуд Оросын Холбооны Улсүл хамаарах зүйл биш юм.

Танай байгууллага PCI DSS-ийг заавал дагаж мөрдөх ёстой эсэхийг ойлгохын тулд бид энгийн схем ашиглахыг санал болгож байна.

Зураг 1. Танд PCI DSS нийцүүлэх шаардлагатай эсэхийг тодорхойлох


Эхний алхам бол хоёр асуултанд хариулах явдал юм.
  • Төлбөрийн картын мэдээлэл танай байгууллагад хадгалагдаж, боловсруулагдаж, дамжуулагдаж байна уу?
  • Танай байгууллагын бизнесийн үйл явц төлбөрийн картын мэдээллийн аюулгүй байдалд шууд нөлөөлж чадах уу?
Хэрэв эдгээр хоёр асуултын хариулт сөрөг байвал PCI DSS сертификаттай байх шаардлагагүй. Зураг 1-ээс харахад дор хаяж нэг эерэг хариулт байгаа тохиолдолд стандартыг дагаж мөрдөх шаардлагатай.

# PCI DSS-ийн шаардлага юу вэ?

Стандартыг дагаж мөрдөхийн тулд энэ шаардлагыг биелүүлэх шаардлагатай ерөнхий тоймдоорх хүснэгтэд үзүүлсэн арван хоёр хэсэгт үзүүлэв.

Хүснэгт 1. PCI DSS стандартын дээд түвшний шаардлага

Хэрэв бид бага зэрэг гүнзгийрвэл стандарт нь 440 орчим баталгаажуулалтын процедурыг нэвтрүүлэхийг шаарддаг бөгөөд энэ нь шаардлагад нийцэж байгаа эсэхийг шалгахад эерэг үр дүнг өгөх ёстой.

# Та PCI DSS стандартад нийцэж байгаа эсэхийг хэрхэн баталгаажуулах вэ?
PCI DSS шаардлагад нийцэж байгаа эсэхийг баталгаажуулах янз бүрийн арга байдаг бөгөөд үүнд: гадаад аудит (QSA), Дотоод аудит(ISA) эсвэл байгууллагын өөрийн үнэлгээ (SAQ).Тэдгээрийн тус бүрийн онцлогийг хүснэгтэд үзүүлэв.


Хүснэгт 2. PCI DSS стандартад нийцэж байгаа эсэхийг баталгаажуулах аргууд


Гадаад аудитын QSA (мэргэшсэн аюулгүй байдлын үнэлгээч)
ISA Дотоод аудит
(Дотоод аюулгүй байдлын үнэлгээч)
Өөрийгөө үнэлэх SAQ
(Өөрийгөө үнэлэх асуулга)
Гүйцэтгэсэн гадна аудитын байгууллага QSA, PCI SSC зөвлөлөөс баталгаажуулсан.Гүйцэтгэсэн дотоод PCI SSC зөвлөлийн хөтөлбөрийн дагуу сургалтад хамрагдаж, гэрчилгээ авсан аудитор.Зөвхөн анхан шатны шаардлага хангасан эсэх нь QSA аудитаар батлагдсан тохиолдолд л гүйцэтгэнэ.Гүйцэтгэсэн өөрийнхөөрөөөөрийгөө үнэлэх хуудсыг бөглөх замаар.
Шалгалтын үр дүнд QSA аудиторуудцуглуулах хэрэгжилтийн нотолгоо Шалгалтын үр дүнд ISA аудиторууд, хөндлөнгийн аудитын нэгэн адил цуглуулах хэрэгжилтийн нотолгоостандартын шаардлагыг хангаж, гурван жилийн хугацаанд хадгалах.Нотлох баримт цуглуулахстандартын шаардлагыг хангасан байх шаардлагагүй.
Шалгалтын үр дүнд үндэслэн нийцлийн тайланг бэлтгэж байна- ROC(Нийцлийн тухай тайлан).Өөрөө дүүргэх SAQ өөрийгөө үнэлэх хуудас.
Үзүүлсэн аргууд нь илт энгийн хэдий ч үйлчлүүлэгчид тохирох аргыг сонгохдоо үл ойлголцол, бэрхшээлтэй тулгардаг. Үүний нэг жишээ бол доор гарч ирж буй асуултууд юм.

# Ямар нөхцөлд хөндлөнгийн аудит хийх шаардлагатай вэ, юунд- дотоод засал? Эсвэл байгууллагын өөрийн үнэлгээгээр хязгаарлагдахад хангалттай юу?

Эдгээр асуултын хариулт нь байгууллагын төрөл, жилд хийгдсэн гүйлгээний тооноос хамаарна. Энэ нь санамсаргүй сонголт байж болохгүй, учир нь байгууллага стандартад нийцэж буйг харуулахын тулд ямар аргыг ашиглахыг баримтжуулсан дүрэм журам байдаг. Эдгээр бүх шаардлагыг олон улсын байгууллагаас тогтоосон байдаг төлбөрийн системүүд, ОХУ-д хамгийн алдартай нь Visa болон MasterCard юм. Худалдаа үйлчилгээний аж ахуйн нэгжүүд (худалдаачид), үйлчилгээ эрхлэгчид гэсэн хоёр төрлийн байгууллагыг ялгадаг ангилал ч байдаг.

Жилд хийгдсэн гүйлгээний тооноос хамааран худалдаачид болон үйлчилгээ үзүүлэгчдийг өөр өөр түвшинд ангилж болно.

Худалдаа үйлчилгээний байгууллага цахим худалдааг ашиглан жилд 1 сая хүртэлх гүйлгээ хийдэг гэж бодъё. Visa болон MasterCard ангиллын дагуу (Зураг 2) байгууллага нь 3-р түвшинд хамаарах болно. Тиймээс PCI DSS-тэй нийцэж байгаа эсэхийг баталгаажуулахын тулд улирал тутам мэдээллийн дэд бүтцийн бүрэлдэхүүн хэсгүүдийн ASV-ийн эмзэг байдлын гадаад скан хийх шаардлагатай (Батлагдсан). Scanning Vendor) болон жилийн өөрийн үнэлгээний SAQ. Энэ тохиолдолд байгууллага нь дагаж мөрдөх нотлох баримт цуглуулах шаардлагагүй, учир нь энэ нь одоогийн түвшинд шаардлагагүй юм. Тайлангийн баримт бичиг нь бөглөсөн SAQ өөрийн үнэлгээний хуудас болно.

Эсвэл жилд 300 мянга гаруй гүйлгээ боловсруулдаг үүлэн үйлчилгээ үзүүлэгчийн жишээг авч үзье. Visa эсвэл MasterCard-ийн тогтоосон ангиллын дагуу үйлчилгээ үзүүлэгчийг 1-р түвшний ангилалд оруулна. Энэ нь Зураг 2-т заасны дагуу улирал тутам ASV мэдээллийн дэд бүтцийн бүрэлдэхүүн хэсгүүдийн эмзэг байдлын гадаад скан хийх шаардлагатай гэсэн үг юм. жил бүр хөндлөнгийн QSA аудит.

Зураг 2. PCI DSS стандартад нийцэж байгаа эсэхийг баталгаажуулах түвшин ба шаардлагын ангилал

# ASV скан хийх хугацааг нэг удаа зөрчсөн нь PCI DSS-ийн нийцлийн хэтийн төлөвөөс ноцтой эрсдэл үүсгэдэг үү?

PCI DSS статусыг хүлээн авсан байгууллага нь улирал тутам ASV скан хийх гэх мэт тодорхой шаардлагыг тогтмол хангасан байх ёстой. Анхны аудитын явцад ASV сканнерийн баримтжуулсан процедур, сүүлийн гурван сарын хугацаанд дор хаяж нэг амжилттай гүйцэтгэлийн үр дүн хангалттай байх болно. Дараагийн бүх сканнерыг улирал тутам хийх ёстой бөгөөд хугацаа нь гурван сараас хэтрэхгүй байх ёстой.
Эмзэг байдлыг гадны сканнердах хуваарийг зөрчих нь ногдуулахад хүргэдэг нэмэлт шаардлагабайгууллагын мэдээллийн аюулгүй байдлын удирдлагын системд. Нэгдүгээрт, эмзэг байдлын ASV скан хийж, "ногоон" тайланд хүрэх шаардлагатай хэвээр байх болно. Хоёрдугаарт, ирээдүйд ийм хуваарийг зөрчихгүй байх нэмэлт журам боловсруулах шаардлагатай болно.

Эцэст нь

Гол дүгнэлтийг Дейтериум ХХК-ийн мэдээллийн аюулгүй байдлын инженер Петр Шаповаловын ишлэлээр илэрхийлж болно.

"Хэдийгээр ОХУ-ын нутаг дэвсгэр дээр өөрийн гэсэн Үндэсний тогтолцоотөлбөрийн картууд (NSCP), олон улсын төлбөрийн системийн шаардлагыг цуцалсангүй. Харин сүүлийн үед Visa болон MasterCard-аас худалдан авагч банкуудад төлбөрийн гарц, тэдгээрт холбогдсон худалдаачид, түүнчлэн картын аюулгүй байдалд нөлөөлж болзошгүй үйлчилгээ үзүүлэгчдээс PCI DSS стандартыг дагаж мөрдөхийг шаарддаг гэсэн захидал улам бүр ирэх болсон. өгөгдөл. Үүнтэй холбогдуулан PCI DSS стандартыг дагаж мөрдөх асуудал нь төлбөрийн картын салбарын томоохон тоглогчдод төдийгүй жижиг худалдаа, үйлчилгээний аж ахуйн нэгжүүдэд чухал ач холбогдолтой болж байна.

-д хамааралтай Оросын зах зээлнь одоо удирдлагатай үйлчилгээний үйлчилгээ юм. Энэ нь үйлчилгээ үзүүлэгч нь үйлчлүүлэгчдэд зөвхөн тоног төхөөрөмж, виртуал мэдээллийн дэд бүтцийг түрээслэхээс гадна PCI DSS стандартын шаардлагын дагуу түүний удирдлагын үйлчилгээгээр хангадаг явдал юм. Энэ нь ялангуяа өөрийн гэсэн хэлтэсгүй жижиг худалдаа, үйлчилгээний газруудад ашигтай мэдээллийн технологимэдээллийн аюулгүй байдал. Мэргэшсэн үйлчилгээ үзүүлэгчид хандах нь худалдаачдын PCI DSS баталгаажуулалтын үйл явцыг ихээхэн хялбарчилж, төлбөрийн картын мэдээллийг зохих түвшинд хамгаалахад тусалдаг.

Удирдлагатай PCI DSS үйлчилгээ үзүүлдэг компанийн жишээ болгон (зөвхөн PCI DSS дэд бүтцийг түрээслээд зогсохгүй стандартын шаардлагын дагуу удирддаг) компанийг дурдаж болно.