Приведение в соответствие требованиям

PCI 3DS

Стандарт PCI 3DS Core Security Requirements определяет требования к инфраструктуре, обеспечивающей реализацию протокола 3-D Secure, то есть двухфакторной аутентификации при совершении интернет-платежей.

Применимость требований трактуется системами платежных карт по-разному.

Платежная система МИР на текущий момент не требует обязательного соответствия требованиям PCI 3DS Core Security Requirements.

Международная платежная система Visa, которая является разработчиком стандарта, требует соответствия от всех организаций (сервис-провайдеров), оказывающих услуги по предоставлению сервисов 3DS Access Control Server (ACS), 3DS Directory Server (DS) и 3DS Server (3DSS).

Требования PCI 3DS Core Security Requirements направлены на обеспечение логической и физической безопасности для компонентов инфраструктуры EMV® Secure 3-D: ACS, DS и 3DS Server и во многом опираются на требования PCI DSS. Процедура аудита допускает зачет их реализации при условии, что они оценивались в рамках проведенного аудита по требованиям PCI DSS. При этом, часть требований PCI 3DS Core Security Requirements специфичны для этого стандарта: управление безопасностью (управление рисками, взаимодействие со сторонними организациями); защита систем и приложений, обеспечивающих сервисы 3DS (обеспечение доступности сервиса); контроль доступа (обеспечение безопасного соединения), защита данных (хранение данных, мониторинг транзакций); управление ключами и криптографическим оборудованием, физическая безопасность.

В нашей команде – один из первых в мире сертифицированных аудиторов, первый в России и странах ближнего зарубежья. Мы накопили большой и разнообразный опыт реализации проектов.

КАК СТРОИТСЯ ПРОЕКТ

Для успешной сертификации необходимо продемонстрировать соответствие применимым требованиям PCI 3DS Core Security Requirements. Необходимы следующие мероприятия:

1

Определить применимость требований. Применимость зависит от сертифицируемых видов деятельности, а также от нюансов, связанных с реализацией отдельных элементов инфраструктуры, используемых технологий, а также процессов и процедур.

2

Провести предварительную оценку соответствия – понять положение дел в отправной точке для того, чтобы получить точную картину как можно раньше и запланировать необходимые мероприятия по приведению в целевое состояние. Основной целью является подготовка плана приведения в соответствие. Очевидно, что независимая экспертная оценка поможет ничего не упустить, корректно интерпретировать требования и избежать эффекта «замыленного глаза», подготовить оптимальные для конкретной ситуации рекомендации — это то, что делаем мы.

3

Реализовать все мероприятия, определенные в рамках плана приведения в соответствия. На данном этапе необходимо устранить все несоответствия, отработав все пункты плана.

4

Провести сертификационный аудит – это делаем мы как сертифицированный PCI 3DS Assessor.

5

Устранить выявленные несоответствия, если они будут выявлены, в соответствии с установленной процедурой.

Важно знать

Сертификационный аудит проводится раз в год или однократно для организаций, которые первично разворачивают инфраструктуру 3DS. Такие аудиты могут проводить только организации, аккредитованные как PCI 3DS Assessor.

Чем мы можем быть полезны:

Сертификационный аудит, консалтинг, помощь в приведении в соответствие, в частности, помощь в построении и внедрении процессов и процедур управления ключами, тестирование на проникновение.

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    1-5 раб. дней

    Согласование плана проведения аудита

    На этом этапе мы уточняем область оценки, запрашиваем информацию, необходимую для составления четкого плана аудита, формулируем предварительный запрос данных, в частности, изучаем результаты оценки соответствия требованиям PCI DSS.

  • Этап 2

    2-3 раб. дней

    Проведение аудита на площадке

    Собираем необходимую для оценки выполнения всех применимых требований информацию.

  • Этап 3

    15 раб. дней

    Подготовка отчетной документации

    В соответствии с актуальными методиками и требованиями программ платежных систем разрабатываются отчет в формате PCI 3DS ROC и перечень несоответствий (при их наличии) с рекомендациями по их возможному устранению.

  • Этап 4

    Контроль устранения несоответствий (при их наличии)

    Взаимодействуем с заказчиком, оцениваем полноту и корректность предоставленных свидетельств, подтверждающих устранения несоответствий требованиям PCI 3DS Core Security Requirements, выявленных в ходе аудита. Максимальный срок устранения несоответствий, установленный Visa, – до 60 календарных дней в соответствии со сроками, установленными Visa. Другими платежными системами аналогичный срок не определен.

    В случае успешного устранения всех выявленных несоответствий выдается заключение о полном соответствии требованиям PCI 3DS Core Security Requirements (в формате AOC).