Приведение в соответствие требованиям

PCI DSS

Платежные системы, входящие в Совет PCI SSC, разработали стандарт PCI DSS, целью которого является как защита финансовых операций, так и данных платежных карт. Стандарт PCI DSS состоит из 12 требований-блоков, которые подразумевают реализацию большого количества технических мер, в свою очередь, требующих наличия средств защиты, а также ряд организационных мер. В частности, одним из требований является тестирование на проникновение.

Требования стандарта применимы ко многим типам организаций, работающих с данными платежных карт, а также сервис-провайдеров, оказывающих услуги вышеуказанным компаниям.

У каждой платежной системы (включая НСПК, которая также является членом PCI SSC) есть своя программа сертификации, согласно которой осуществляются классификация и категорирование организаций и определяется процедура ежегодного подтверждения соответствия. В зависимости от видов деятельности, количества транзакций по картам и/или хранимых данных платежных карт, устанавливается форма отчетности – сертификационный аудит или в формате самоопросника (SAQ). Сертификационные аудиты могут  проводить организации, аккредитованные как PCI QSA.

Почему мы

В нашей команде сразу несколько экспертов, которые начали работать с PCI DSS с момента его появления на российском рынке и рынке стран ближнего зарубежья (т.е. с 2007-2008 гг.).

Накопленный нами богатый опыт и постоянно совершенствующаяся методика позволяют нам эффективно взаимодействовать с проектной группой заказчика, экономя их время, силы и нервы.

Мы не являемся системным интегратором/дистрибьютером, поэтому мы не продвигаем решения и продукты, которые интересны нам, а не нашим заказчикам. Мы заодно с нашими клиентами, работаем вместе с ними, чтобы найти и внедрить оптимальные решения, которые бы отвечали их интересам и специфике. Поможем сократить область применения требований, разработать и внедрить процессы и процедуры. Предлагаемые нами решения адаптированы под наших клиентов, это не набор шаблонов. Поможем определиться с классификацией, уменьшить область применения требований и посоветуем варианты реализации требований, адаптированные к конкретной специфике технологических и бизнес-процессов заказчика.

Анкета для бюджетной оценки

вы можете существенно упростить запрос КП, если заполните анкету

КАК СТРОИТСЯ ПРОЕКТ

Для успешной сертификации необходимо продемонстрировать соответствие применимым требованиям PCI DSS. Необходимы следующие мероприятия:

1

Определить область применения требований. Применимость зависит от сертифицируемых видов деятельности, а также от нюансов, связанных с реализацией отдельных элементов инфраструктуры, используемых технологий, а также процессов и процедур. Мы поможем сократить область применения требований PCI DSS, сократив тем самым затраты ресурсов на сертификацию и на последующее поддержания соответствия.

2

Провести предварительную оценку соответствия – понять положение дел в отправной точке для того, чтобы получить точную картину как можно раньше и запланировать необходимые мероприятию по приведению в целевое состояние. Основной целью является подготовка плана приведения в соответствие. Очевидно, что независимая экспертная оценка поможет ничего не упустить из вида, корректно интерпретировать требования и избежать эффекта «замыленного глаза», подготовить оптимальные для конкретной ситуации рекомендации — это то, что делаем мы.

3

Реализовать все мероприятия, определенные в рамках плана приведения в соответствие. На данном этапе необходимо устранить все несоответствия, отработав все пункты плана. Мы поможем выстроить процессы, внедрить процедуры обеспечения безопасности и контроля, разработать соответствующие организационно-распорядительные документы, а также стандарты настройки безопасности систем. Окажем консультационную поддержку, отвечая на возникающие вопросы по интерпретации и реализации требований, адаптировав и оптимизировав их реализацию под конкретную ситуацию. При необходимости поможем разработать и реализовать компенсационные меры.

4

Провести тестирование на проникновение. Мы поможем оценить защищенность сертифицируемого контура как из сети Интернет, так и из внутренней сети.

5

Провести сертификационный аудит – это делаем мы как сертифицированный PCI QSA.

Важно знать

Стандарт актуален для:

  • Сервис-провайдеров, которые хранят, обрабатывают и/или передают данные платежных карт.
  • Торгово-сервисных предприятий, которые принимают платежи по картам.
  • Сервис-провайдеров, которые оказывают сервисы сертифицированным по PCI DSS организациям (например, для ЦОДов, облаков и т.п.).

Чем мы можем быть полезны:

Сертификационный аудит, консалтинг, помощь в приведении к соответствию, проведение тестирования на проникновение, сопровождение.

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    20-30 раб. дней

    Предварительный аудит

    • Оценка области применения стандарта
    • Оценка степени соответствия и выявление несоответствующих процессов обработки и недостающих процессов защиты
  • Этап 2

    5-15 раб. дней

    Разработка нормативной документации

    • Разработка обязательных нормативных документов.
    • Адаптация действующих процессов обработки данных под требования стандарта.
    • Консультации по разработке и применению процессов управления защищенностью.
  • Этап 3

    20 раб. дней

    Тестирование на проникновение

    Проведение обязательного тестирования на проникновение и разработка рекомендаций по устранению найденных уязвимостей

  • Этап 4

    Ежеквартальное ASV-сканирование

    Проведение ежеквартального внешнего сканирования на уязвимости.

  • Этап 5

    20-25 раб. дней

    Проведение сертификационного аудита

    Проведение финального аудита.