PCI DSS

Owned by Corteos Platform (Unlicensed)
Last updated: Mar 05, 2023 by Confluence Admin
2 min read

  • Sel-Assessment Questionnaire В - Corteos

  • Data security standart, AoC - Corteos

 

  • Почему нам достаточно именно этих документов? Т.е. почему заполненного опросника и листа самооценки достаточно и почему нет необходимости сертифицироваться на минимальный Level 4?

Есть два варианта соответствия требованиям PCI DSS:

  1. Самооценка (SAQ);

  1. Аудит с привлечение QSA-компании.

В зависимости от того, какие процессы обработки данных платежных карт (далее - ДПК) реализованы будет актуален первый или второй вариант.

Сейчас мы реализуем вариант 1, так как фактически отсутствуют процессы обработки ДПК в Corteos.

Чтобы иметь возможность показывать соответствие сейчас (процессы обработки ДПК отсутствуют) мы подготовили SAQ и AOC. 

Подтверждение соответствия PCI DSS требуется для всех компаний участвующих в хранении, обработке и передачи данных платежных карт, требуют подтверждения международные платежные системы (далее МПС) Visa, Mastercard и др. Цепочка следующая: МПС запрашивает свидетельство у Банка (или платежного провайдера), затем Банк запрашивает соответствие у сервис-провайдера. В зависимости от статуса в МПС предполагается различная форма подтверждения соответствия. Для сервис-провайдеров, обрабатывающих менее 300 тыс. транзакций (Level 2) - заполнение SAQ (Sel-Assessment Questionnaire) D.

https://usa.visa.com/dam/VCOM/download/merchants/data-security-compliance-service-providers.pdf

https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/service-providers-need-to-know.html 

Актуализация SAQ и AOC производится самостоятельно ежегодно. 

Поскольку Corteos не обрабатываете данные платежных карт, то на данный момент соответствия какомe-либо уровню не требуется и предоставление SAQ и AOC достаточно. 

Level 4 присваивается мерчантам и к Corteos он не применим, поскольку Corteos оказывает услуги другим компаниям.