Соберем и проанализируем предварительную информацию.
О СТАНДАРТЕ PCI PIN Security
Компания Compliance Control проводит PIN Security аудиты начиная с 2014 года, именно тогда мы одними из первых были уполномочены со стороны VISA проводить VISA PIN Security аудиты в России.
PCI PIN Security — это стандарт индустрии платежных карт, определяющий требования к оборудованию, помещениям и процессам по обеспечению безопасности PIN-данных в процессе авторизации.
Требования стандарта представлены в 3 основных группах:
1. Общие требования при проведении транзакций (Transaction Processing Operations)
2. Требования к удаленной загрузке ключей используя асимметричное шифрование и Удостоверяющим центрам (Symmetric Key Distribution using Asymmetric Techniques)
3. Требования к центрам загрузки ключей (Key Injection Facility)
На сегодня основным регулятором по этому стандарту выступает МПС VISA, которая как держатель программы VISA PIN Security Program, по сути, и является автором стандарта.
Программа определяет типы организаций, которые должны соответствовать и подтверждать свое соответствие требованиям стандарта PCI PIN Security Requirements, а именно:
PIN Acquiring Third-Party VisaNet Processor (VNP) — организация (провайдер или клиент VISA), имеющая прямое соединение с VisaNet, и предоставляющая услуги эквайринга клиентам VISA.
PIN Acquiring Third-Party Servicers (TPS) — организация, оказывающая услуги процессинга по картам VISA от лица клиентов VISA.
Encryption and Support Organizations (ESO) – организации, обеспечивающие:
• Услуги по управлению ключами шифрования (в том числе локальную и удаленную загрузку ключей).
• Удостоверяющие центры, задействованные для загрузки ключей.
Также аудит обязателен для любых других организаций, впервые подключающихся к VisaNet. Аудит PCI PIN Security проводится не реже, чем раз в 2 года с привлечением Qualified PIN Assessor (QPA), такого как Compliance Control.