Платежная система MasterCard опубликовала изменения в программе Site Data Protection. Теперь торгово-сервисным предприятиям (ТСП) 2 уровня недостаточно заполнения самоопросника PCI SAQ, помимо этого они обязаны приглашать компанию, имеющую статус PCI QSA, для проведения onsite-аудита. ТСП 1 уровня ранее могли проводить onsite-аудит, используя собственного внутреннего аудитора, теперь это возможно только с привлечением QSA. ТСП 1 уровня, которые уже прошли оценку соответствия, используя внутреннего аудитора, до 15 июня 2009 г., должны подтвердить свой статус путем проведения аудита с привлечением QSA до 31 декабря 2010 г.
Для России это означает, что теперь и торговым сетям пора серьезно задуматься о приведении систем в соответствие с PCI DSS. В России не очень большое количество торгово-сервисных предприятий 2 уровня, имеющих ежегодный объем транзакций более 1 миллиона по MasterCard, но крупнейшие торговых сети, скорее всего, попадут под эту категорию.
Очевидно, что изменение заставит серьезно увеличить затраты предприятий, имеющих от 1 до 6 млн. транзакций в год, однако многие аналитики в сфере компьютерной безопасности придерживаются мнения, что MasterCard сделала верный шаг. ТСП уровня 2 оперируют большими объемами транзакций, как следствие ущерб в случае компрометации весьма значителен. При этом самоопросники PCI SAQ обычно заполняются довольно плохо в основном из-за сложности стандарта и отсутствия опыта у ответственных за проведение оценки соответствия. Практика компании VeriSign показывает, что только около 70% требований самоопросника заполняются более менее точно, т.е. в 30% требований стоит ответ "Да" или "Неприменимо", когда верный ответ должен быть "Нет".
На данный момент другие платежные системы не поменяли свои требования ко второму уровню ТСП, однако вне зависимости от этого, если предприятие определено как ТСП 2-го уровня в любой другой платежной системе (в том числе Visa), то оно автоматически получает 2 уровень по классификации MasterCard и с настоящего времени обязано проводить onsite-аудит, выполняемый PCI QSA.
Также стоит обратить внимание, что количество транзакций, определяющих уровень сервис-провайдера у MasterCard приведено в соответствие с пороговыми величинами Visa и понизилось с 1 млн. до 300 000 транзакций в год.
Подробнее о программе MasterCard Site Data Protection можно почитать в специальном разделе pcisecurity.ru или на официальном сайте MasterCard (англ.)
