10.09.2014

Эквайер как поставщик услуг

a_babenko

Автор: Алексей Бабенко

Должность: руководитель направления отдела безопасности банковских систем компании «Информзащита»

Совет по стандартам безопасности индустрии платежных карт (PCI SSC) определяет банк-эквайер как организацию, которая обеспечивает возможность приема платежных карт на стороне торгово-сервисного предприятия.

К поставщикам услуг (или сервис-провайдерам) относятся компании, осуществляющие обработку данных платежных карт для третьей стороны, либо выполняющие действия, которые влияют на безопасность данных.

В разделе часто задаваемых вопросов на официальном сайте Совета подчеркивается, что согласно требованию 12.8 стандарта PCI DSS (Внедрение и поддержание политики взаимодействия с поставщиками услуг) эквайеры не являются сервис-провайдерами для своих торгово-сервисных предприятий. Однако в случае выполнения банком-эквайером работ, не имеющих непосредственного отношения к процедуре эквайринга (например, настройка и управление POS-терминалами), эквайер начинает выполнять функции поставщика услуг. В данном случае на торгово-сервисное предприятие распространяются требования 12.8, 12.9 PCI DSS, предполагающие необходимость совместного с банком-эквайером определения и закрепления ответственности за выполнение требований стандарта.

При всей глубине и высокой степени проработанности стандарта PCI DSS, на практике часто возникают ситуации, требующие глубокой экспертизы и изучения начальных целей требования. Для оказания содействия в понимании требований Совет PCI SSC регулярно выпускает методические материалы и размещает ответы в разделе часто задаваемых вопросов на сайте. Наиболее полную информацию может предоставить QSA-аудитор, ориентирующийся как в вопросах применения Стандарта, так и в инфраструктуре вашей организации.