PCI DSS
- Corteos Platform (Unlicensed)
- Confluence Admin
Sel-Assessment Questionnaire В - Corteos
Data security standart, AoC - Corteos
Почему нам достаточно именно этих документов? Т.е. почему заполненного опросника и листа самооценки достаточно и почему нет необходимости сертифицироваться на минимальный Level 4?
Есть два варианта соответствия требованиям PCI DSS:
Самооценка (SAQ);
Аудит с привлечение QSA-компании.
В зависимости от того, какие процессы обработки данных платежных карт (далее - ДПК) реализованы будет актуален первый или второй вариант.
Сейчас мы реализуем вариант 1, так как фактически отсутствуют процессы обработки ДПК в Corteos.
Чтобы иметь возможность показывать соответствие сейчас (процессы обработки ДПК отсутствуют) мы подготовили SAQ и AOC.
Подтверждение соответствия PCI DSS требуется для всех компаний участвующих в хранении, обработке и передачи данных платежных карт, требуют подтверждения международные платежные системы (далее МПС) Visa, Mastercard и др. Цепочка следующая: МПС запрашивает свидетельство у Банка (или платежного провайдера), затем Банк запрашивает соответствие у сервис-провайдера. В зависимости от статуса в МПС предполагается различная форма подтверждения соответствия. Для сервис-провайдеров, обрабатывающих менее 300 тыс. транзакций (Level 2) - заполнение SAQ (Sel-Assessment Questionnaire) D.
https://usa.visa.com/dam/VCOM/download/merchants/data-security-compliance-service-providers.pdf
Актуализация SAQ и AOC производится самостоятельно ежегодно.
Поскольку Corteos не обрабатываете данные платежных карт, то на данный момент соответствия какомe-либо уровню не требуется и предоставление SAQ и AOC достаточно.
Level 4 присваивается мерчантам и к Corteos он не применим, поскольку Corteos оказывает услуги другим компаниям.