Pci Dss Что Это

Какие плюсы дает сертификат PCI DSS | Администрирование серверов и техническая поддержка сайтов

Содержание:

Pci Dss Что Это

Сертификация PCI DSS

5 (100%) 2 votes

Существует несколько сертификаций, которые позволяют компаниям осуществлять деятельность, связанную с электронными платежами. Но самой популярной на территории СНГ является стандарт PCI DSS.

Сертификат PCI DSS (Payment Card Industry Security Standards Council) дает возможность не только соответствовать последним требованиям безопасности, но и оптимизировать работу всей инфраструктуры.

Ниже перечислены основные пункты, которым должна соответствовать компания для прохождения проверки по PCI DSS. Всего их 12, и группируются они на 6 категорий:

Какие преимущества дает PCI DSS

Помимо очевидного технологического толчка для развития компании, сертификат PCI DSS повышает её имидж. С одной стороны, инфраструктура становится более безопасной, а с другой, это улучшает отношение клиентов к предоставляемым услугам.

Обратимся к статистике: все компании, которые прошли сертификацию по стандарту PCI DSS, снизили свои убытки и получаемый урон от хакерских атак.

А наработанная база клиентов стала расширяться, благодаря пониманию того, что их персональные данные и электронные счета находятся в безопасности
Имидж повышается и за счет психологического воздействия на пользователей и клиентов.

Обратите Внимание!

Красивый логотип PCI DSS на веб-сайте компании внушает доверие и машинально ассоциируется у людей с чем-то солидным.

Так что, сертификат PCI DSS – это не только современные средства защиты, но и залог успешной репутации компании.

Хостинг PCI DSS

Ранее мы писали про первичную аттестацию по стандарту PCI DSS, где описаны все проблемы, с которыми могут столкнуться новички. Но проверку соответствия качеству можно, а порой и нужно, проходить ежегодно.

Однако, подготовиться к серьезной проверке очень трудно и далеко не каждая фирма обладает сотрудниками, которые смогли бы все настроить самостоятельно. Согласно опросу, около 77% учреждений обращается к сертифицированным поставщикам услуг, гарантирующих должное качество исполнения для прохождения теста PCI DSS.

С одной стороны, такое решение является оптимальным, так как не требует серьезных интеллектуальных ресурсов. С другой же, эта затея может быть довольно затратной. Например, на данный момент многие компании арендуют защищённые места, предоставляемые сертифицированными дата-центрами.

Однако, новые тенденции позволяют компаниям отходить от физической локализации данных, используя серверную инфраструктуру (IaaS). Самые продвинутые компании позволяют своим пользователям не только хранить данные, но и осуществлять их администрирование, не нарушая требования стандарта PCI DSS.

Современные тренды на рынке

Согласно проведенному анализу работающих компаний, большинство представителей использует услуги сертифицированных поставщиков извне для оптимизации безопасности инфраструктуры, используя выделенные дата-центры. Но многие идут дальше и внедряют расширения для PCI DSS IaaS вместе с управляемыми сервисами MSP.

Такая тенденция не может не радовать, потому что некоторое время назад на пространстве СНГ не существовало компаний, соответствующих требованиям PCI DSS. Поэтому такое понятие как «сертифицированный хостинг-провайдер» вызывало удивление. Но благодаря отдельным компаниям, остальные смогли арендовать их место на сервере, уже соответствующем требованиям PCI DSS.

Самое Важное!

Одной из таких компаний стала «ИТ-ГРАД». Она дала возможность другим учреждениям и, соответственно, клиентам пользоваться всеми преимуществами стандарта PCI DSS. Уровень доверия со стороны пользователей к всему, что имеет данный логотип, неустанно растет, а значит, увеличивается спрос на услуги.

Ещё раз повторимся, что сертификация согласно требованиям PCI DSS необходима компаниям для повышения доверия со стороны клиентов. Но куда важнее то, что персональные данные каждого из них будут находиться в безопасности, а сама система защиты поможет не только значительно снизить риски их кражи, но и уменьшить затраты на ее поддержку.

Если вы не уверены в соответствии своей фирмы критериям стандартам PCI DSS, обращайтесь. Мы проанализируем инфраструктуру и приведем ее в соответствие нормам сертификации.

Источник: https://itfb.com.ua/sertifikatsiya-pci-dss/

PCI DSS. Подготовка и сертификационный аудит

Мы — Qualified Security Assessor (QSA)

Compliance Control — одна из первых в России специализированных компаний, оказывающих услуги в области приведения в соответствие и сертификации по стандарту PCI DSS. Мы занимаемся проектами в области PCI DSS более 4-х лет.

Если Вы только собираетесь пройти сертификационный аудит — мы поможем Вам подготовиться и успешно получить аттестат соответствия.

Если Вы ранее соответствовали стандарту PCI DSS и хотите пройти ежегодный ре-сертификационный аудит — мы предложим Вам заманчивые спецпредложения и поможем сократить затраты на поддержание соответствия стандарту.

  Задайте вопрос эксперту

Напишите нам, чтобы получить
консультацию по вопросам PCI DSS

Или позвоните по телефону +7 499 136 2766

С нашей помощью Вы сможете подготовиться к успешному прохождению сертификационного аудита. Мы подскажем как сократить scope проекта, поможем доработать базу документов и составим план приведения в соответствие.

Compliance Control имеет аккредитацию PCI SSC и статус QSA. Наша методика проведения аудитов позволяет максимально сократить временные затраты Ваших сотрудников при проведении интервью и сборе подтверждений аудита.

Статус соответствия необходимо подтверждать ежегодно. Для Вас мы предлагаем программу PCI DSS Compliance Process (P.D.C.P). Эта программа содержит систему напоминаний и шаблонов для поддержания Вашего соответствия в течение года.

Общая информация о стандарте

PCI DSS — стандарт безопасности данных платёжных карт. Стандарт представляет собой совокупность 12 различных наборов требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются.

Кто должен соответствовать?

Соответствовать стандарту PCI DSS должны те организации, которые хранят, обрабатывают или передают в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты.

Чаще всего соответствовать необходимо банкам, розничным магазинам и сайтам электронной коммерции, процессинговым центрам, платежным шлюзам, хранилищам носителей резервных копий данных, организациям персонализации карт и т.д.

Интересное:  Как Узнать О Кредитной Истории

Кто контролирует соответствие?

Соответствие стандарту PCI DSS контролируется международными платежными системами. Несоблюдение требований стандарта PCI DSS предусматривает наложение штрафов, вплоть до отключения от системы процессинга международных платежных систем.

Оптимальный процесс подготовки и проведения сертификационных аудитов.

Подготовим для Вас все необходимые документы для прохождения аудита.

Проводим внешний и внутренний тесты на проникновение.

Ежеквартальное ASV-сканирование — обязательное условие прохождение аудита.

Полезный Совет!

Всегда порадуем Вас полезными бонусами для поддержания соответствия.

Ежедневная поддержка. Отвечаем на ваши вопросы по стандарту PCI DSS.

Источник: http://compliance-control.ru/pcidss.html

Стандарт PCI DSS

Сейчас весь цивилизованный мир использует пластиковые карты и знакомы и с Visa и с MasterCard. Это удобно и безопасно. А защищенность обеспечивает стандарт PCI DSS. Эта аббревиатура трактуется как стандарт защищенности информации платежных карт.

Этому стандарту обязаны отвечать все участники рынка услуг, которые так или иначе воздействуют на защищенность данных этих платежных карт. От всех торговых компаний требуют подтверждения выполнения детализированных требований PCI DSS (т.е.

наличие сертификата).

PCI DSS – задачи?

PCI DSS – это набор детализированных правил для гарантии защищенности информации, содержащейся на пластиковой карте. задача – обеспечение защищенности на каждом этапе действий с платёжной картой и эти требования предъявляются ко всем компаниям вне зависимости от их величины и числа производимых бизнес-процессов с данными платежных карт.

Сертификация PCI DSS

Для получения сертификата PCI DSS требуется выполнение 12 пунктов конкретных правил по защищенности информации.

А для того, чтобы определиться с надобностью прохождения сертификации PCI DSS, подумайте – осуществляет ли ваша компания сбережение, обработку или передачу информации платежных карт и может ли воздействовать своей деятельностью на их безопасность. Конечно, если всё эти процессы вам чужды, значит получение этого сертификата не обосновано.

Чтобы удостоверить свое соответствие правилам PCI DSS, проводится:

  • Внешний аудит – проводится аудиторской компанией, имеющей сертификацию Совета PCI DSS;
  • Внутренний аудит – проводится специалистом-аудитором, имеющим соответствующую сертификацию;
  • Проведение самоанализа – выполняется посредством самостоятельного заполнения «листа самоанализа».

Что такое уровень сертификации PCI DSS?

Основным моментом в получении сертификата выделяют два уровня для поставщиков услуг и четыре уровня торговых компаний. Уровень присваивается в зависимости от числа производимых торговых операций с любыми картами за год. И от присвоенного уровня зависит периодичность подтверждения соответствия PCI DSS. Это может быть ежеквартально и (или) ежегодно.

PCI DSS хостинг

Этот сервис обеспечивает защищенность данных при размещении своих структур в части провайдера, внутри которой происходит обработка данных платежных карт. Интересно что, выбрав этот сервис, вопрос о выполнении части требований стандарта PCI DSS решается сам собой.

Ведь провайдер выполненил свою часть требований. Конечно, эффективнее привлечь того, кто выполнил свою часть сертификации.

Это экономически оправдано и сократит заказчикам время на подтверждение соответствия правилам и на пояснительную документацию, часть которой уже выполнена у провайдера.

Источник: https://vk-it.com/standart-pci-dss/

Стандарт PCI DSS: требования и сертификация

Стандарт (Payment Card Industry Data Security Standard) разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council). Он определяет конкретный перечень требований к обеспечению безопасности данных платежных карт, затрагивающих как организационную, так и техническую сторону компаний.

О стандарте

Популярные платежные системы Visa и MasterCard стали требовать от поставщиков услуг и различных торговых предприятий, работающих с данными платежных карт, соответствия PCI DSS. Поэтому вопрос соблюдения правил, утвержденных этим документом, стало важным не только для крупной организации, но и для небольших торговых предприятий.

Стандарт PCI DSS определяет требования к предприятиям, информационные системы которых хранят, обрабатывают и/или передают данные платежных карт. Также они определяются и для предприятий, которые способны каким-либо способом повлиять на сохранность этой конфиденциальной платежной информации.

Все организации, вовлеченные в процесс обработки платежных карт, должны соответствовать предписаниям, содержащимся в этом документе. Компании, находящиеся на территории Российской Федерации — не исключение.

Нужно ли соответствовать стандарту

Чтобы понять, должна ли ваша организация соответствовать требованиям стандарта, ответьте на два простых вопроса:

  1. Ваша фирма хранит/обрабатывает/передает данные платежных карт?
  2. Может ли ваша компания влиять на безопасность таких данных?

Если хоть на один из вопросов есть положительный ответ, значит, компания должна соответствовать правилам, установленным этим документом.

Требования стандарта

Перечислять PCI DSS требования можно долго, т. к. их очень много. Так, согласно действующему документу, требует прохождения 440 различных проверочных процедур. Вот некоторые из них:

  1. Управление доступом к данным о платежных картах.
  2. Механизмы аутентификации
  3. Конфигурация компонентов информационной инфраструктуры.
  4. Защита вычислительной сети.
  5. Физическая защита информационной инфраструктуры.

Конечно, все 440 требований перечислять не станем. В данной статье это не нужно. При желании информацию вы найдете в Интернете без особых проблем.

Если облака для вас
не просто теория

Широкий спектр услуг по выделенным северам

и мультиклауд-решениям

Сертификация

Сертификация PCI DSS может осуществляться тремя способами:

  1. Внешний аудит (QSA)
  2. Внутренний аудит (ISA)
  3. Самооценка (SAQ).

Внешний аудит проводится аудиторской компанией, которая должна быть сертифицирована Советом PCI SSС. В ходе проверки собираются доказательства выполнений всех предписаний. Результаты аудита сохраняются на определенный период (длительность зависит от уровня организации), после чего нужно проводить внешний аудит заново.

Внутренний аудит ISA выполняется внутренним специалистом, который прошел обучение и сертификацию по программе Совета PCI SSC.

Сертификация PCI DSS с помощью самооценки (SAQ) выполняется компанией самостоятельно — с помощью заполнения листа самооценки. Этот способ аудита не требует сбора свидетельств выполнения стандартизированных правил.
Чтобы понять, какой тип аудита нужно проводить, нужно посмотреть на разновидность компании и оценить численность годовых транзакций.

Так, по классификации Visa, если торгово-сервисное предприятие обрабатывает более чем 6 млн. транзакций в год, нужен ежегодный QSA-аудит и ежеквартальное ASV-сканирование.

Облако по стандарту PCI DSS

Все PCI DSS требования соблюдать сложно, плюс это потребует сил, времени и определенных вложений. Гораздо проще арендовать облако, соответствующее принятому постановлению.

Облако по стандарту PCI DSS — это специальная услуга, обеспечивающая безопасную работу с платежными картами для организаций, разместивших свою инфраструктуру на стороне сертифицированного облачного провайдера. Сертификат выглядит, как показано на изображении ниже:

Выбрав такую услугу, предприятие автоматически закрывает существенную долю предписаний PCI DSS и перекладывает заботу о сертификации на плечи провайдера. Провайдер берет на себя часть обязанностей, к примеру, управление действующими операционными системами и физическую защиту устанавливаемых серверов.

Использование сертифицированного облака значительно упрощает жизнь организации. Раньше организациям приходилось разворачивать собственную информационную инфраструктуру, строить собственное серверное помещение, выполнять все предписания собственноручно.

Сейчас можно часть требований передать сертифицированным провайдерам.

Это поможет вам повысить уровень защищенности среды обработки платежных данных, а также максимально уменьшить риски финансовых потерь от вероятных неприятных инцидентов информационной безопасности.

Интересное:  Как Расплатиться Бонусами Спасибо От Сбербанка

Дополнительную информацию об этой услуге можно получить по адресу: https://www.xelent.ru/news/tsod-sdn-sertifitsirovan-po-standartu-pci-dss/

Источник: https://www.xelent.ru/blog/standart-pci-dss-trebovaniya-i-sertifikatsiya/

Сертификация по PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Сертификация PCI DSS позволяет сотрудничать с банками напрямую через платежные интерфейсы банка и самого онлайн магазина, тем самым позволяя исключить перехват покупателя сторонней организацией.

В данный стандарт входят 12 детализированных требований по обеспечению безопасности данных платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Также, он охватывает безопасность на уровне сетей, оборудования, приложений, баз данных, документирования и управления процессами.

Каковы уровни сертификации по PCI DSS?

Существует 4 уровня сертификатов PCI DSS, которые определяются максимально возможным количеством обрабатываемых транзакций:

Level 4 – обработка до 20 тыс. транзакций в год. Для получения сертификата PCI DSS необходимо производить ежеквартальное сканирование внешних адресов на наличие уязвимостей (ASV-сканирование) и заполнить лист самооценки (Annual Self-Assessment Questionnaire, SAQ).

Level 3 – обработка от 20 тыс. до 1млн. транзакций в год, который также требует как ежеквартальное ASV-сканирование, так и заполнение листа самооценки.

Level 2 – обработка от 1 млн. до 6 млн. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное ASV-сканирование и заполнение листа самооценки (SAQ). Также, для заполнения SAQ этого уровня будет необходимо либо отправлять собственных сотрудников на специализированный тренинг, либо привлекать компанию-аудитора (PCI QSA).

Level 1 – обработка более 6 млн. транзакций в год, сертификация проводится только с привлечением независимого аудитора (QSA). Процедура сертификации включает в себя обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту, консультационную поддержку при внедрении.

Какие области контроля определяются стандартом?

  • установка межсетевых экранов для защиты данных владельцев карт.
  • неиспользование выставленных по умолчанию системных паролей и других параметров безопасности.
  • обеспечение защиты данных держателей карт в ходе их хранения.
  • обеспечение шифрования данных держателей карт при их передаче.
  • использование и регулярное обновление антивирусного программного обеспечения.
  • разработка и поддержка безопасных систем и приложений.
  • ограничение доступа к данным держателей карт в соответствии со служебной необходимостью.
  • присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре.
  • ограничение физического доступа к данным держателей карт.
  • контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт.
  • регулярное тестирование систем и процессов обеспечения безопасности.
  • разработка и исполнение политики информационной безопасности.

Таким образом, если компания собирается пройти сертификацию соответствия PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования данного стандарта.

Пройдя данную сертификацию, Вы сможете быть уверены в полной информационной безопасности данных платёжных карт, используемых на сайте Вашего магазина.

Подключите решение от RegularPay уже сегодня!

Источник: https://regularpay.com/ru/articles-ru/pci-dss-certifications/

Блог|bePaid

PCI DSS расшифровывается как Payment Card Industry Data Security Standard, на русский язык можно перевести, как «Стандарт безопасности данных в индустрии платежных карт».

Этот стандарт  разрабатывается и поддерживается некоммерческой организацией под названием Payment Card Industry Security Standards Council.

Или, говоря по-русски,«Совет по стандартам безопасности в индустрии платежных карт».

Обратите Внимание!

Совет был создан в 2006 году ведущими мировыми платежными системами и крупнейшими компаниями, работающими в сфере платежных карт и электронной коммерции.Его основной задачей является анализ возникающих угроз и выработка единого максимального эффективного подхода к защите платежных данных (номера карты, CVV кода и т.д.

) от хищения, компрометации и несанкционированного доступа на каждом этапе обработки карточного платежа.

Собственно, PCI DSS есть ничто иное, как набор правил и требований, обязательных к исполнению любой организацией, которая имеет непосредственный контакт с карточными данными.

Эти правила и требования охватывают и регулируют достаточно широкий круг вопросов: от способов приема, обработки и хранения конфиденциальной информации платежной карты до организации внутренних процессов компании (например, процессоров электронных платежей таких как bePaid, (ООО«ИкомЧардж»)).

Цель одна – не допустить  компрометации карточных данных и свести эту вероятность к минимуму.

Заметим, что сам факт приема карт к оплате в интернет-магазине вовсе не означает непосредственный контакт магазина с карточными данными покупателя.

Если для приема платежей используется платежная страница, предоставленная процессинговой компанией (с перенаправлением или с использованием iFrame и других технологий) и карточные данные не проходят через сетевую и техническую инфраструктуру интернет-магазина, у него не возникает обязанности по выполнению требований PCI DSS. За это отвечает процессинговая компания, обслуживающая прием платежей данного интернет-магазина.

Также хочется заметить, что сам по себе стандарт PCI DSS никак не защищает интернет-магазин от мошенничества. У него другие задачи.

Ответ интернет-продавцу

Нужно ли владельцу интернет-магазина задумываться о соответствии своего предприятия требованиям стандарта безопасности PCI DSS?В современном мире электронной коммерции, где все вопросы, связанные с безопасностью, не только берут на себя, но и успешно решают специальные процессинговые компании, в этом нет необходимости.

Оно и к лучшему, так как выполнение всех требований стандарта PCI DSS – дело не простое и затратное во всех отношениях.А вот убедиться в том, что выбранный вами процессор имеет сертификат соответствия стандарту PCI DSS будет не лишним.

Наличие действующего сертификата как минимум говорит о серьезном подходе процессора к заботе о сохранности платежной информации ваших покупателей. К слову, сертификат соответствия выдается на 1 год, после чего вся процедура сертификации повторяется.

Проверить наличие действующего сертификата у той или иной процессинговой компании можно при помощи онлайн базы данных зарегистрированных поставщиков платежных услуг систем:

1.VISA http://www.visa.com/splisting/searchGrsp.do

2. MasterCard https://www.mastercard.com/us/company/en/docs/SP_Post_List.pdf

Необходимо отметить, что компания-процессор появляется в списках платежных систем в течение месяца после получения PCI DSS сертификата, но, при условии, что она зарегистрирована там банком-спонсором, т.е. эквайером. Например, ОАО «Беларусбанк» банк-спонсор bePaid.

А что же думать, если вы вдруг не нашли имя своего процессора в списках платежных систем?И в этом случае можно найти объяснение. Ваш процессор электронных платежей арендует уже готовый процессинговый софт. Это один из вариантов организации бизнеса компании-процессора.

Самое Важное!

Так как одно из требований регистрации — это наличие PCI DSS, то в случае аренды платежного шлюза, PCI DSS предоставляется компанией-поставщиком, а компания-процессор регистрируется по упрощенной схеме и отображается в строке «solicitor».

По такой схеме работает довольно много процессоров электронных платежей.

Интересное:  Средняя Зарплата За 3 Месяца Как Посчитать

Например, рижская компания eComCharge сдает в аренду свой платежный шлюз тем бизнесам, которые не хотят  тратить время  и средства на написание своей собственной системы, но имеют огромное желание работать в сфере e-commerce, поэтому и отдают всю техническую часть на аутсорсинг профессионалам.

Сертификация игроков белорусского e-commerce

В Беларуси банки-эквайеры обязаны отслеживать и отслеживают наличие сертификации стандарта PCI DSS у процессоров электронных платежей, с которыми они работают.

В свою очередь, процессор обязан ежегодно предоставлять своему партнеру, банку-эквайеру, актуальный сертификат.

Так что отечественный онлайн-бизнес может быть уверен, что процессор, с которым он заключил договор на обслуживание в Беларуси, соответствует принятому в платежной индустрии стандарту PCI DSS.С уважением,

Команда bePaid

Источник: https://bepaid.by/internet-torgovez-i-pci-dss-prozessora

Подготовка к сертификации PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платёжных карт (Payment Card Industry Security Standards Council, PCI SSC), который учредили Visa, MasterCard, American Express, JCB и Discover.

Требования стандарта распространяются на все компании, работающие с международными платёжными системами: банки, торгово-сервисные предприятия, поставщиков технологических услуг и другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платёжных карт.

PCI DSS — комплексное руководство по безопасности

Стандарт PCI DSS выдвигает требования к защищённости компонентов инфраструктуры, в которой передаётся, обрабатывается или хранится информация о платёжных картах. Проверка платёжной инфраструктуры на соответствие этим требованиям выявляет причины, которые значительно снижают уровень её защищённости.

Тесты на проникновение, которые входят в список обязательных мероприятий, регламентированных стандартом PCI DSS, показывают реальный уровень защищённости информационных ресурсов компании как с позиции злоумышленника, находящегося за пределами исследуемого периметра, так и с позиции сотрудника компании, имеющего доступ «изнутри».

Совет PCI DSS сформулировал ключевые требования по организации защиты данных в документе «Стандарт безопасности данных индустрии платёжных карт (PCI DSS). Требования и процедуры оценки безопасности. Версия 3.0». Эти требования сгруппированы таким образом, чтобы упростить процедуру аудита безопасности.

Скачать PCI DSS на русском языке.

Требования и процедуры оценки безопасности PCI DSS

Построить и поддерживать защищённые сети и системы

  • Требование 1. «Установить и поддерживать конфигурацию межсетевых экранов для защиты данных о держателях карт».
  • Требование 2. «Не использовать пароли к системам и другие параметры безопасности, заданные производителем по умолчанию».

Защищать данные о держателях карт

  • Требование 3. «Защищать хранимые данные о держателях карт».
  • Требование 4. «Шифровать данные о держателях карт при их передаче через общедоступные сети».

Поддерживать программу управления уязвимостями

Внедрять строгие меры контроля доступа

  • Требование 7. «Ограничивать доступ к данным о держателях карт в соответствии со служебной необходимостью».
  • Требование 8. «Идентифицировать и аутентифицировать доступ к системным компонентам».
  • Требование 9. «Ограничивать физический доступ к данным о держателях карт».

Осуществлять регулярный мониторинг и тестирование сетей

  • Требование 10. «Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и данным о держателях карт».
  • Требование 11. «Регулярно тестировать системы и процессы безопасности»

Поддерживать политику информационной безопасности

  • Требование 12. «Поддерживать политику информационной безопасности для всех работников».

«Перспективный мониторинг» помогает банкам, торгово-сервисным предприятиям, разработчикам финансовых сервисов подготовится к аудиту на соответствие PCI DSS и оказывает экспертную поддержку по выполнению требований стандарта.

Источник: https://amonitoring.ru/service/compliance/pci-dss/

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) – международный стандарт в области безопасности данных индустрии платежных карт.

Разработка, совершенствование и распространение PCI DSS осуществляется Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council), организованным крупнейшими международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard и Visa, Inc.

Заказать услугу аудита на соответствие требованиям стандарта PCI DSS

Стандарт PCI DSS определяет основные требования по обеспечению информационной безопасности и распространяется на все системы, вовлеченные в процессы передачи, хранения и/или обработки данных держателей карт международных платежных систем.

Требования PCI DSS разделены на 6 тем, определяющих основные принципы стандарта, такие как:

  • построение и обслуживание защищенной сети и систем;
  • защита данных держателей карт;
  • управление уязвимостями;
  • внедрение строгих мер контроля доступа;
  • регулярный мониторинг и тестирование сети;
  • поддержка политики информационной безопасности.

Соответствие требованиям стандарта Payment Card Industry Data Security Standard необходимо для работы с международными платежными системами.

В зависимости от количества транзакций в организации может быть выполнена самооценка либо сертификационный аудит PCI DSS с участием QSA аудитора.

Статус QSA- Payment Card Industry Qualified Security Assessor (PCI QSA) — позволяет проводить работы по сертификационному аудиту на соответствие требованиям стандарта PCI DSS.

ДиалогНаука обладает соответствующими компетенциями, чтобы помочь в достижении соответствия и получению сертификата PCI DSS, и аккредитована на проведение работ по PCI DSS на территории CEMEA (Центральная Европа, Ближний Восток и Африка). В компании работают несколько квалифицированных QSA аудиторов, имеющих большой опыт выполнения проектов по данному направлению.

В ноябре 2014 года вышла третья версия стандарта PCI DSS 3.0, которая вступит в полную силу с 30 июня 2015. Последняя версия стандарта PCI DSS на русском уже утверждена, в качестве официального перевода, Советом по стандартам безопасности данных индустрии платежных.

Предварительный аудит PCI DSS

Основной целью предварительного аудита PCI DSS является выявление текущего уровня соответствия организации стандарту PCI DSS.

В рамках предварительно аудита PCI DSS проводится анализ существующей организационно-распорядительной документации, интервьюирование персонала, проверки и наблюдения.

Результаты проведения работ дают возможность оценить состояние защищенности информационных систем, входящих в среду данных держателей платежных карт, а также эффективность организации процессов обеспечения безопасности данных.

По итогам анализа собранной информации в ходе предварительного аудита PCI DSS разрабатываются рекомендации по приведению организации в соответствие стандарту, которые охватывают все требования PCI DSS.

Внедрение PCI DSS

Внедрение PCI DSS 3.0 позволит организации снизить риски компрометации данных и формализовать процессы обеспечения информационной безопасности. Для этого используется комплексный подход, включающий детальные рекомендации по реализации комплекса организационных мер и программно-технических средств.

Во время внедрения PCI DSS в организации основной целью ставится выполнение требований стандарта, для этого могут проводиться:

  • ASV – сканирование;
  • внутреннее сканирование уязвимостей;
  • приведение нормативной базы документов в соответствие требованиям стандарта PCI DSS;
  • оценка рисков;
  • внешний и внутренний тесты на проникновение;
  • разработка технического проекта на систему защиты информации;
  • внедрение средств защиты информации;
  • обучение персонала организации.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *