Штрафы и санкции VISA за невыполнение требований стандарта PCI DSS

Штрафы и санкции VISA за невыполнение требований стандарта PCI DSS

Также читайте статью “Сертификат PCI DSS”


В каждой статье мы говорим о том, что требования стандарта PCI DSS необходимо выполнять всем компаниям, которые связаны с индустрией платёжных карт.

А что будет, если не выполнять требования стандарта?

В этой статье мы подробно разберём, какие могут быть последствия за невыполнение требований стандарта PCI DSS.

Международная платежная система VISA выпустила информационный бюллетень, напоминающий компаниям о соблюдении требований программ безопасности «Visa Cardholder Information Security Program (CISP)» и «Account Information Security (AIS)», регламентирующих обязательное прохождение PCI DSS -сертификации.

Этот бюллетень был выпущен 31 июля 2014 года специально для всех компаний, которые являются участниками индустрии платежных карт. К таким компаниям относятся финансовые учреждения, сервис-провайдеры, торгово-сервисные предприятия и пр.

Очень важно отметить следующее: данным информационным бюллетенем VISA поставила в известность всех участников индустрии платежных карт о вводе в действие усиленного Плана соблюдения PCI DSS – соответствия (PCI DSS Enforcement Plan) с 1 января 2015 года.

О чём сказано в этом плане соблюдения PCI DSS?

Согласно данному плану финансовые учреждения (далее – клиенты VISA), подключенные к Международной платежной системе VISA, с 1 января 2015 года должны запрашивать у своих торгово-сервисных предприятий, агентов или сервис-провайдеров документацию (Report on Compliance, Attestation of Compliance, Self-Assessment Questionnaire или План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan)), подтверждающую прохождение данным сервис-провайдером или торгово-сервисным предприятием оценку на соответствие требованиям стандарта PCI DSS.

По сути это подтверждение того, что данный сервис-провайдер или торгово-сервисное предприятие соответствует всем требованиям стандарта PCI DSS. Данная документация должна предоставляться платежной системе VISA.

Но что будет, если предприятия, о которых мы говорили выше не прошли сертификацию и не соответствуют требованиям стандарта PCI DSS?

С 1 января 2015 года согласно требованиям VISA (PCI DSS Enforcement Plan) к сервис-провайдерам и торгово-сервисным предприятиям, не прошедшим оценку и сертификацию на соответствие требованиям стандарта PCI DSS, могут быть применены санкции, включая штрафы.

Давайте более подробно рассмотрим санкции, которые могут быть применены к компаниям, вовремя не подтвердившим соответствие стандарту PCI DSS.

Дни просрочки от 1 до 60:

Компания, присутствующая в Visa Global Registry of Service Providers, будет выделена «желтым» цветом.  Это не относится к сервис-провайдерам или торгово-сервисным предприятиям, которым для подтверждения PCI DSS – соответствия требуется заполнение листа уровня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостоятельное заполнение опросного листа).

Клиенты VISA должны уведомить свои торгово-сервисные предприятия, а также своих агентов или сервис-провайдеров о необходимости предоставления им документации, подтверждающей прохождение данным сервис-провайдером или торгово-сервисным предприятием PCI DSS – сертификации или Плана устранения несоответствий требованиям стандарта (Remediation Plan).

Дни просрочки от 61 до 90:

Компания, присутствующая в Visa Global Registry of Service Providers, будет выделена «красным» цветом. Это не относится к сервис-провайдерам или торгово-сервисным предприятиям, которым для подтверждения PCI DSS – соответствия требуется заполнение листа уровня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостоятельное заполнение опросного листа).

Дни просрочки от 91 до 180:

Компания будет удалена из Visa Global Registry of Service Providers. Это не относится к сервис-провайдерам или торгово-сервисным предприятиям, которым для подтверждения PCI DSS – соответствия требуется заполнение листа уровня «D» – «Self-Assessment Questionnaire (SAQ) D» (самостоятельное заполнение опросного листа).

Компании необходимо предоставить своему Банку-эквайеру или Процессинговому центру (клиент VISA) План устранения несоответствий требованиям стандарта (Remediation Plan), заверенный QSA Компанией, с обозначенными сроками прохождения PCI DSS – сертификации для приостановки штрафных санкций.

Если такой План устранения (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции согласно «Account Information Security (AIS) Program noncompliance fines table» к каждому сервис-провайдеру или торгово-сервисному предприятию Банка-эквайера или Процессингового центра.

ВОЗНИКЛИ ВОПРОСЫ? получите консультацию у наших экспертов абсолютно бесплатно
Связаться

Дни просрочки от 181 до 270:

Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента Visa.


Также читайте статью “Сертификация PCI DSS в Украине”


Дни просрочки от 271 и более:

Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента VISA.

Особое внимание нужно уделить следующему: платежная система VISA может предпринять дополнительные меры, например, меры по снижению рисков, связанные с отсутствием соответствия требованиям стандарта PCI DSS. К таким мерам можно отнести   отсоединение от VisaNet или дисквалификацию агента.

Теперь давайте рассмотрим подробно санкции, которые могут быть применены к компаниям, которые никогда не подтверждали PCI DSS – соответствие:

Дни просрочки – 0:

Клиенты VISA, к ним относятся Банки-эквайеры, Процессинговые центры и пр. должны уведомить свои торгово-сервисные предприятия и агентов о том, что они вовремя не подтвердили PCI DSS – соответствие. Также необходимо собрать документацию, подтверждающую прохождение данным сервис-провайдером или торгово-сервисным предприятием PCI DSS -сертификации или внедрение Плана устранения (Remediation Plan) в случае, если в рамках предварительной оценки PCI DSS -соответствия обнаружены несоответствия стандарту.

Дни просрочки от 1 до 30:

Торгово-сервисные предприятия, агенты или сервис-провайдеры должны предоставить на согласование своим Банкам-эквайерам или Процессинговым центрам План устранения (Remediation Plan), заверенный QSA Компанией, с обозначенной датой подтверждения PCI DSS – соответствия. После этого согласования План устранения (Remediation Plan) предоставляется платежной системе VISA. Такими действиями можно избежать штрафных санкций.

Дни просрочки от 31 до 90:

Если План устранения (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA будут применены ежемесячные штрафные санкции согласно «Account Information Security (AIS) Program noncompliance fines table» к каждому к сервис-провайдеру или торгово-сервисному предприятию.

Дни просрочки от 91 до 180:

Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента Visa.

Дни просрочки от 181 и более:

Если План устранения несоответствий требованиям стандарта PCI DSS (Remediation Plan) не предоставлен или не принят Банком-эквайером или Процессинговым центром, платежной системой VISA могут быть применены ежемесячные штрафные санкции к каждому Visa Principal Bank клиента VISA.

Платежная система VISA может предпринять дополнительные меры, например, меры по снижению рисков, связанные с отсутствием соответствия требованиям стандарта PCI DSS, отсоединение от VisaNet или дисквалификацию агента.

Как мы видим, для того, чтобы ваша компания не столкнулась с санкциями от компании VISA, необходимо вовремя пройти сертификацию по стандарту PCI DSS.

Наша компания готова оказать вам содействие в удовлетворении требований VISA, приведении в соответствие и успешном прохождении сертификации PCI DSS вашего бизнеса.

Авторы статьи:
Александр Куберский, Игорь Демчук.

Компания “ИТ-Специалист” – G+

ВОЗНИКЛИ ВОПРОСЫ?

Получите консультацию у наших экспертов абсолютно бесплатно