PCI 3DS

Стандарт индустрии платежных карт, определяющий требования безопасности к инфраструктуре 3D Secure провайдеров.

Требования включают 2 раздела:

1. Базовые требования к окружению Part 1: 3DS Baseline Security Requirements.
2. Основные требования Part 2: 3DS Security Requirements.

Базовые требования к окружению представляют перечень требований «материнского» стандарта PCI DSS применимые к 3DS инфраструктуре. При этом процедуры аудита допускают зачет их выполнения при включении 3DS-инфраструктуры в границы классического PCI DSS аудита.

Основные требования 3DS Security Requirements — это набор специфических требований именно для 3DS-инфраструктуры к:

• Сетевой безопасности.
• Управлению рисками.
• Взаимодействию со сторонними организациями.
• Контролю конфигураций и интерфейсов.
• Мониторингу и Доступности компонент.
• Мониторингу транзакций.
• Физической безопасности.

Аудит по данным требованиям обязателен для 3DS хостинг-провайдеров (ежегодно), а также первичных инсталляций 3DS решений на стороне эмитентов. Также в некоторых регионах проведение такого аудита обязательно при внедрении 3D Secure решений с поддержкой Protocol 2.0.

На сегодня основным регулятором по этому стандарту выступает МПС VISA, как автор стандарта и держатель программы Visa 3-D Secure (3DS) Security Program Guide.

Compliance Control проводит PCI 3D Secure (ранее VISA 3DS) аудиты начиная с 2016 года, когда одной из немногих в мире была уполномочена со стороны VISA.