4. Article

Maksājumu pakalpojumu sniedzēji īsteno drošības pasākumus atbilstoši drošības politikai, lai mazinātu konstatētos riskus. Šie pasākumi ietver vairākus drošības līmeņus, kur vienas aizsardzības līnijas pārrāvuma gadījumā iesaistās nākamā aizsardzības līnija ("pastiprinātā aizsardzība"). 4.1. Izstrādājot, attīstot un uzturot interneta maksājumu pakalpojumus, maksājumu pakalpojumu sniedzēji pievērš īpašu uzmanību atbilstošai pienākumu nodalīšanai IT vidē (piemēram, izstrādes, testēšanas un ražošanas vidēm) un pienācīgai "mazāko privilēģiju" principa īstenošanai kā pamatam pieejas tiesību pārvaldībai4. 4.2. Maksājumu pakalpojumu sniedzējiem ir pieejami atbilstoši drošības risinājumi, lai aizsargātu tīklus, tīmekļa vietnes, serverus un sakaru nodrošinājumu pret vardarbību vai uzbrukumiem. Maksājumu pakalpojumu sniedzēji atslēdz serveros visas liekās funkcijas, lai tos aizsargātu (stiprinātu) un novērstu vai mazinātu lietojumprogrammu ievainojamību riska situācijās. Dažādu lietojumprogrammu piekļuve datiem jāmazina līdz minimumam saskaņā ar "mazāko privilēģiju" principu. Lai ierobežotu viltotu tīmekļa vietņu, kas atdarina likumīgās maksājumu pakalpojumu sniedzēja vietnes, izmantošanu, transakciju tīmekļa vietnes, kas piedāvā interneta maksājumu pakalpojumus, aizsargā ar uzticamiem sertifikātiem, kas izsniegti ar maksājumu pakalpojumu sniedzēja nosaukumu vai citām līdzīgām autentifikācijas metodēm. 4.3. Maksājumu pakalpojumu sniedzēji ievieš procedūras, lai uzraudzītu, kontrolētu un ierobežotu piekļuvi: i) aizsargājamiem datiem; ii) loģiskajiem un fiziskajiem kritiskas nozīmes resursiem, piemēram, tīkliem, sistēmām, datu bāzēm, drošības moduļiem utt. Maksājumu pakalpojumu sniedzēji izveido, uzglabā un analizē attiecīgos auditācijas pierakstus. 4.4. Izstrādājot5, attīstot un uzturot interneta maksājumu pakalpojumus, maksājumu pakalpojumu sniedzēji nodrošina, ka datu vākšanas samazināšana6 ir būtiska galvenās funkcijas sastāvdaļa: aizsargājamu datu apstrāde, t.sk. arhivēšana un vizualizācija, ir jāsamazina līdz iespējamam minimumam. 4.5. Interneta maksājumu pakalpojumu drošību pārbauda risku kontroles funkcijas vadībā, lai nodrošinātu to drošumu un efektivitāti. Visas izmaiņas pakļaujamas noteiktajai izmaiņu pārvaldības procedūrai, nodrošinot, ka izmaiņas tiek pienācīgi plānotas, testētas, dokumentētas un ieviestas. Pamatojoties uz veiktajām izmaiņām un novērotajiem drošības riskiem, testus atkārto regulāri un izskata zināmos iespējamo uzbrukumu scenārijus. 4.6. Maksājumu pakalpojumu sniedzēju noteiktos drošības pasākumus periodiski auditē, lai nodrošinātu to stabilitāti un efektivitāti. Auditē arī interneta maksājumu pakalpojumu ieviešanu. Nosakot šādu auditu regularitāti un mērķi, ņem vērā saistītos drošības riskus. Revīziju veic kompetenti un neatkarīgi (iekšējie vai ārējie) eksperti, kas nav iesaistīti sniegto interneta maksājumu pakalpojumu izstrādē, ieviešanā un uzturēšanā. 4.7. Ja maksājumu pakalpojumu sniedzēji interneta maksājumu pakalpojumu drošības funkcijas ir nodevuši ārpakalpojumu sniedzējiem, līgumā ar ārpakalpojumu sniedzēju iekļauj noteikumus, kas prasa ievērot atbilstību šajā pielikumā noteiktajiem principiem un vadlīnijām. 4.8. Maksājumu pakalpojumu sniedzēji līgumā ar e-komersantiem, kas rīkojas (t.i., glabā, apstrādā un pārsūta) ar aizsargājamiem datiem, pieprasa, lai tie ieviestu atbilstošus drošības pasākumus to IT infrastruktūrā saskaņā ar šā pielikuma II sadaļas 4.1. 4.7. punktu, lai izvairītos no šo aizsargājamo datu zādzībām e-komersantu sistēmās. Ja maksājumu pakalpojumu sniedzējs uzzina, ka e-komersants nav ieviesis nepieciešamos drošības pasākumus, tas rīkojas, lai izpildītu līgumā paredzētās saistības, vai lauž līgumu. Izsekojamība