Приведение в соответствие требованиям

PCI Card Production Security Requirements

Требования стандартов PCI Card Production and Provisioning Physical Security Requirements и PCI Card Production and Provisioning Logical Security Requirements распространяются на все организации, которые оказывают услуги по производству и/или персонализации платежных карт, предназначенных для третьей стороны. Также они могут быть применимы к компаниям, осуществляющим сортировку карт как независимый логистический центр, токенизацию и т.п. Первый стандарт (т.е. требования по физической безопасности) является обязательным для всех типов организаций, связанных с производством и/или персонализацией карт. Второй стандарт (т.е. требования по логической безопасности) также является обязательным для всех типов организаций, связанных с персонализацией карт (включая токенизацию и т.п.). Применимость требований может трактоваться платежными системами по-разному.

Платежные системы требуют прохождения ежегодных аудитов на соответствие требованиям PCI Card Production and Provisioning Physical Security Requirement и PCI Card Production Logical Security Requirements. Такие аудиты могут проводить только организации, аккредитованные как PCI Card Production and Provisioning Security Assessor (PCI CPSA). В то же время, каждая платежная система имеет свою программу соответствия, в рамках которой может различаться процесс устранения несоответствий и продления сертификации.

Мы являемся первым в мире сертифицированным аудитором PCI CPSA и обладает огромным опытом реализации проектов по всему земному шару.

КАК СТРОИТСЯ ПРОЕКТ

Для успешной сертификации необходимо продемонстрировать соответствие применимым требованиям PCI CP. На итоговый срок и процедуру сертификации оказывает непосредственное влияние программа сертификации платежной системы, так как аудитор не выдает сертификат о соответствии, а лишь выдает заключение о соответствии требованиям стандарта(ов) PCI CP. Необходимы следующие мероприятия:

1

Определить применимость требований. Применимость зависит от сертифицируемых видов деятельности, а также от нюансов, связанных с реализацией отдельных элементов архитектуры, инфраструктуры, систем обеспечения безопасности и процессов определить применимость требований. Это то, в чем можем быть полезны мы. Наше участие поможет сэкономить время, деньги и силы на реализацию требований.

2

Провести предварительную оценку соответствия – понять положение дел в отправной точке для того, чтобы получить точную картину как можно раньше и запланировать необходимые мероприятию по приведению в целевое состояние. Основной целью является подготовка плана приведения в соответствие. Очевидно, что независимая экспертная оценка поможет ничего не упустить, корректно интерпретировать требования и избежать эффекта «замыленного глаза», подготовить оптимальные для конкретной ситуации рекомендации — это то, что делаем мы.

3

Реализовать все мероприятия, определенные в рамках плана приведения в соответствия. На данном этапе необходимо устранить все несоответствия, отработав все пункты плана.

4

Провести сертификационный аудит – это делаем мы как сертифицированный PCI CPSA.

5

Устранить выявленные несоответствия, если они будут выявлены, в соответствии с процедурами, определенными платежными системами.

Важно знать

В зависимости от степени готовности процедура сертификации новой площадки занимает не менее полугода, т.е. 6 месяцев. Также на итоговый срок и процедуру сертификации оказывает непосредственное влияние программа сертификации платежной системы, так как аудитор не выдает сертификат о соответствии, а лишь выдает заключение о соответствии требованиям стандарта(ов) PCI CP.

Подготовка к сертификации состоит из предварительной оценки, на основании которой можно подготовить рекомендации и разработать план подготовки к сертификационному аудиту, далее идёт реализация плана и непосредственно сам сертификационный аудит.

Чем мы можем быть полезны:

Сертификационный аудит, подготовка к сертификации, консалтинг, включая помощь в разработке и внедрении процессов и процедур, тестирование на проникновение.

Мы поможем оценить готовность к прохождению аудита, при необходимости оказать консалтинговую поддержку для подготовки к нему и провести сертификационный аудит. Будем рады Вам помочь.

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    1-5 раб. дней

    Запрос предварительной информации

    На этом этапе мы уточняем область оценки, запрашиваем информацию, необходимую для составления четкого плана аудита, формулируем предварительный запрос данных, который поможет сэкономить время и нервы.

  • Этап 2

    1-4 раб. дней

    Проведение аудита на производственной площадке

    Мы проводим вступительное совещание, корректируем план аудита, вырабатываем оптимальный способ взаимодействия с проектной командой.

    Проводим проверки в соответствии с планом, официальной процедурой аудита, а также нашим опытом и экспертизой.

    В последний день мы подводим итоги, обсуждаем все выявленные замечания, при необходимости поясняем, приводим примеры возможной реализации.

  • Этап 3

    10-20 раб. дней

    Подготовка отчетной документации

    Подготавливаем отчетную документацию в соответствии с актуальными требованиями, передаем ее платежным системам и Заказчику.

  • Этап 4

    Финализация аудита/взаимодействие по устранению замечаний

    В зависимости от требований программы платежной системы мы сопровождаем процесс устранения замечаний, взаимодействуя с Заказчиком, анализируем предоставленные свидетельства. Подготавливаем заключения о соответствии и передаем их в платежные системы и Заказчику.