Deiteriy получила право проводить аудиты платежных решений и приложений по стандарту PCI P2PE

Безопасность Стратегия безопасности ИТ в банках
мобильная версия
, Текст: Татьяна Короткова

Международный регулятор — Совет по стандартам безопасности индустрии платежных карт (PCI SSC) — наделил российскую компанию Deiteriy правом проводить сертификационные аудиты платежных решений и приложений на соответствие стандарту PCI P2PE. Таким образом, Deiteriy стала первой российской QSA-компанией, наделённой правом проводить сертификационные аудиты платежных решений и приложений на соответствие стандарту PCI P2PE, сообщили CNews в Deiteriy.

Стандарт PCI P2PE (Payment Card Industry Point-to-Point Encryption) определяет требования к специализированным платежным решениям, применяющим технологию шифрования данных платежных карт по схеме «точка-точка». Карточные данные, будучи зашифрованы внутри платежного терминала в магазине, могут быть расшифрованы только в специальной защищенной среде в недрах процессингового центра. Между этими двумя точками они передаются исключительно в виде шифртекста, который невозможно раскрыть без знания ключа шифрования. В результате применения такого решения сокращается область применения требований стандарта PCI DSS к инфраструктуре магазина, и, как следствие, упрощается и удешевляется процедура ежегодного подтверждения соответствия, пояснили в компании.

По информации Deiteriy, международные платежные системы Visa и MasterCard возлагают большие надежды на снижение риска компрометации данных платежных карт вследствие применения технологии шифрования платежных транзакций по стандарту PCI P2PE.

Для получения всех указанных бонусов от использования платежного решения с шифрованием «точка-точка» данное решение должно быть сертифицировано по стандарту PCI P2PE. Все сертифицированные P2PE-решения включаются в официальный открытый перечень на сайте Совета PCI SSC по итогам успешной сертификации. Выполнить такую сертификацию могут только высококвалифицированные аудиторы, обладающие статусами QSA (P2PE) и PA-QSA (P2PE), дающими право проведения аудита P2PE-решений и используемых в их составе P2PE-приложений соответственно. Сложность процедуры такого аудита выше, чем выполнение базового аудита на соответствие PCI DSS или PA-DSS, подчеркнули в компании. Наличие таких профессиональных навыков и опыта у штатных специалистов QSA-компании проверяется в ходе квалификационных испытаний, которые они обязаны пройти для получения официального статуса P2PE-аудитора.

«Компания Deiteriy уже давно обладает статусами QSA и PA-QSA. В 2014 году компания успешно подтвердила качество своей работы в рамках программы контроля качества AQM, осуществляемой Советом PCI SSC. Новые статусы QSA (P2PE) и PA-QSA (P2PE) дали Deiteriy возможность расширить свой пакет аудиторских услуг для платёжной индустрии», — заявили в компании.