Должно соответствовать программе AIS всем организациям, какие хранят, обрабатывают в противном случае же рассказывают данные платежных карт VISA. Программу применима ко всем платежным каналам, в включая количестве розничные, почтовые/телефонные , напротив, тоже электронной коммерции. Сюда входят участники Visa, торгово-сервисные предприятия, сторонные процессоры третей стороны, поставщики шлюзов а также еще сервисов интернет платежей,и еще еще остальные сторонные поставщики сервисов, таковых как сетевые провайдеры, поставщики банкнот резервного копирования, веб-хостинг. Обязанность участников Visa обеспечивать соотвествие их торгово-сервисных предприятий, да и еще различных других представителей используемых с круглью утилизации платежей. Программное обеспечение AIS использует общий с круглью индустрии платежных карт объединение инструментов совершенно верно , а также мер. Участники, торгово-сервисные предприятия а также тоже сервис-провайдеры могут оценить состояние непосредственной безопасности используя единый процесс опробования в пользу всех без исключения без удаления компаний, оперирующих с пластиковыми картами. Регулятивные общепризнанных мерок программы также позволяют участникам, торгово-сервисным предприятиям и еще еще сервис-провайдерам выбрать единого , напротив, тоже осуществить в жизнь суммарный процесс получения соответствия по всем программам безопасности нынешних платежных карт. Опросные листы самооценки бесплатный конфиденциальный инструмент, которой виден использоваться с круглью оценки вашего соответствия стандарту безопасности данных PCI. Опросный лист разбит на 6 разделов, каждый ориентирован на отдельную область безопасности, основанную на требованиях, включенных в PCI DSS. Участники, торгово-сервисные предприятия совершенно верно да и сервис-провайдеры обязаны заполнить все пункты любого раздела ради того чтоб определить соответствие. Процедуры сканирования безопасности описывают директивы в пользу выполнения сканирования безопасности сети в соответствии с PCI DSS. Этот документ предназначен в пользу заведений, какие полезны сканировать персональную инфраструктуру в пользу подтверждения соответствия стандарту. документ, используемый в пользу опробования соответствия организаций, какие должны пройти . Кто обладает вероятность проверять соответствие? Самооценка Заполение листа самооценки образен собственноручно выполняться различной организацией, заинтересованной в соответствии стандарту безопасности данных PCI. Сканирование да и еще on-site аудит совершенно верно и еще Действия, какие должны быть приготовлены, основываются на числе любый г. хранимых, обрабатываемых совершенно верно а также передаваемых учетных данных Visa. В таблице ниже приведен перечень действий, обязательных для выполнения в зависимости от числа транзакций. Табл. 1. Уровни заведений совершенно верно , а также необходимые процедуры Ответственность за определение уровня персональных торгово-сервисных предприятий, основываясь на числе , напротив, тоже типе обрабатываемых транзакций, возлагается на эквайеров. Эквайеры необходимы уведомить Visa о новых подключенных ТСП 1 совершенно верно и еще 2 уровня всякий г.. Определение уровня ТСП основывается на общом объеме транзакций, реализованных в стране либо же через одного эквайера в течение года. Объемы транзакций от самостоятельных сущностей ТСП (так, так, например, действующих по франшизе в гадком происшествие лицензии) могут быть сняты из учитываемого объема в приключение, если они отдаленно далеко не управляются рассматриваемым ТСП. Дополнительно эквайеры должны предоставить Visa отчеты о соответствии по их ТСП уровней 1, 2 а также тоже 3 как минимум дважды в г.. Visa оставляет за собой дозволение запросить у эквайера отправку документации о проверке соответствия по конкретному ТСП. 30 сентября 2009 - крайний срок хранения запрещенных конфиденциальных сих с круглью ТСП 1 , а также тоже 2 уровня. Через этой даты Visa International потребует подтверждения от эквайеров о том, что ТСП 1 совершенно верно да и 2 уровня неблизко далеко не хранят конфиденциальные нынешние (аналогические как данные магнитной полосы, треки, CVV2 либо же нынешние PIN) через авторизации транзакции, что является нарушением правил Visa. Visa применит благоприятные меры по контролю рисков, вплоть до наложения штрафов на эквайеров, какие далекое-далеко далеко не предоставят Visa форму аттестата соответствия (Attestation of Compliance Form) до 30 сентября 2009, подтверждающую, что все ТСП 1 , а также тоже 2 уровней неблизко далеко не хранят подпольных конфиденциальных данных. Срок в 30 сентября 2009 года далекое-далеко далеко не превалирует над еще ранними сроками, определенными в несомненных регионах , а также еще благоприятными принудительными программами, установленными до того часа. Крайний срок осуществления аудита соответствия стандарту PCI DSS с целью ТСП уровня 1 — 30 сентября 2010 . К этой дате Visa International требует от эквайеров предоставить форму аттестата соответствия (Attestation of Compliance Form) по каждому ТСП уровня 1, показывающую, что различное ТСП прошло процветающий аудит соответствия PCI DSS. По окончании текущей даты Visa применит подлежащие меры по контролю рисков, вплоть до наложения штрафов на эквайеров, какие дально далеко не предоставят Visa форму аттестата соответствия, подтверждающую, что разное ТСП уровня 1 прошле проверку соответствия PCI DSS. Срок в 30 сентября 2010 года далековато далеко не превалирует над намного намного более ранними сроками, определенными в конкретных регионах совершенно верно и еще соответствующими принудительными программами, теперь введенными в влияние. Сервис-провайдеры 2 уровня дально далеко не включаются в список PCI DSS Compliant Service Providers, доступный на сайте Visa. С круглью включения в этый список сервис-провайдер 2 уровня должен пройти процедуры опробования соответствия в пользу пробного уровня. Начиная с 1 февраля 2009 г. , Visa требует от сервис-провайдеров уровня 1 отправки Attestation of Compliance Form (Аттестат соответствия) совершенно верно и еще раздел Executive Summary (Результате реализованного аудита) отчета о соответствии (Report on Compliance, ROC). Сервис-провайдеры уровня 2 отправляют насыщенный самоопросник (Self-Assessment Questionnaire, SAQ) версии D. Visa далекое-далеко далеко не рассматривает содержимое самоопросника, т.к. за точность заполнения самоопросника SAQ отвечают эмитенты , напротив, тоже эквайеры. Участник или сервис-провайдер участника, торгово-сервисное предприятие или сервис-провайдер торгово-сервисного предприятия должен в тот же момент сообщить о подозреваемых в противном случае же подтвержденных утерянных в гадком происшествие похищенных материалов в противном случае записей, содержащих данные владельца карты Visa. Если участник знает или планирует факт испорчения безопасности торгово-сервисного предприятия или сервис-провайдера, он вынужден принять немедленные меры с круглью расследования текущего приключения напротив, тоже ограничить событие на учетные нынешние владельцев карт. Участник, отвечающий за организацию, которая пострадала от компрометации, должен предоставить Visa полную уведомление по инциденту, в включая количестве диапазон учетных записей, какие присутствовали похищены в противном случае возможно похищены, детали о пострадавшей организации , напротив, тоже действия участника с круглью расследования совершенно верно , а также рассмотрения причин, какие вызвали компрометацию. Visa умеюща потребовать, ради того чтоб участник нанял самостоятельную приказу по информационной безопасности с круглью проведения изучения за счет участника.