Соберем и проанализируем предварительную информацию.
PCI 3DS
Стандарт индустрии платежных карт, определяющий требования безопасности к инфраструктуре 3D Secure провайдеров.
Требования включают 2 раздела:
Базовые требования к окружению Part 1: 3DS Baseline Security Requirements.
Основные требования Part 2: 3DS Security Requirements.
Базовые требования к окружению представляют перечень требований «материнского» стандарта PCI DSS применимые к 3DS инфраструктуре. При этом процедуры аудита допускают зачет их выполнения при включении 3DS-инфраструктуры в границы классического PCI DSS аудита.
Основные требования 3DS Security Requirements — это набор специфических требований именно для 3DS-инфраструктуры к:
• Сетевой безопасности.
• Управлению рисками.
• Взаимодействию со сторонними организациями.
• Контролю конфигураций и интерфейсов.
• Мониторингу и Доступности компонент.
• Мониторингу транзакций.
• Физической безопасности.
Аудит по данным требованиям обязателен для 3DS хостинг-провайдеров (ежегодно), а также первичных инсталляций 3DS решений на стороне эмитентов. Также в некоторых регионах проведение такого аудита обязательно при внедрении 3D Secure решений с поддержкой Protocol 2.0.
На сегодня основным регулятором по этому стандарту выступает МПС VISA, как автор стандарта и держатель программы Visa 3-D Secure (3DS) Security Program Guide.
Compliance Control проводит PCI 3D Secure (ранее VISA 3DS) аудиты начиная с 2016 года, когда одной из немногих в мире была уполномочена со стороны VISA.