Подготовка к аудиту на соответствие PCI DSS

Определения и область применения стандарта:

PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) — документ, в котором описаны требования к обеспечению безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Стандарт PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council далее PCI SSC). PCI SSC был основан ведущими международными платежными системами — Visa, MasterCard, American Express, JCB, Discover. Позже в совет примкнули и другие платежные системы.

Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции, то она должна соответствовать требованиям стандарта PCI DSS. Далее в зависимости от количества обрабатываемых транзакций организация должна либо проводить оценку своего соответствия своими силами, с помощью специальных оценочных листов, либо приглашать специально сертифицированных аудиторов.

Примерами предприятий, использующих в своей деятельности стандарт PCIDSS, являются как розничные магазины, так и торгово-сервисные предприятия поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.).

Проблематика:

К необходимости внедрения стандарта или его компонентов компании приходят по-разному.

Как правило, необходимость продиктована видами деятельности организации, а заказчиком выступает бизнес-подразделение, апеллируя санкциями от международных платежных систем. На этом этапе мы готовы ответить следующие вопросы:

  1. Действительно ли необходимо внедрять стандарт?
  2. Чем чревато игнорирование требований?
  3. С чего начать и какова процедура внедрения?
  4. Как определить рамки и границы внедрения?
  5. Как оценить затраты, сроки и необходимые внутренние ресурсы компании?

Второй более весомый аргумент внедрения стандарта - его практическая польза: повышение уровня защищенности информационной инфраструктуры. PCI DSS содержит детальные требования по обеспечению информационной безопасности охватывая все ее направления:

  • Применение межсетевых экранов;
  • Правила настройки оборудования;
  • Защита хранимых данных о владельцах платежных карт;
  • Применение криптографических средств защиты при передаче данных;
  • Применение антивирусных средств;
  • Безопасная разработка и поддержка приложений и систем;
  • Управление доступом пользователей к данным;
  • Управление учетными записями;
  • Обеспечение физической безопасности;
  • Мониторинг безопасности данных;
  • Регулярное тестирование систем;
  • Разработка и поддержка политики информационной безопасности.

Требования охватывают обширный ряд областей информационной безопасности, реализация которых на первый взгляд кажется очень сложной задачей, с массой вопросов и нюансов, среди которых:

  1. С чего начать и какая последовательность реализации требований?
  2. Как определить, какие требования уже реализованы в компании?
  3. Какие документы необходимо разработать?
  4. Какие средства и системы внедрять?
  5. Существуют ли компенсационные меры при невозможности прямой реализации требований?
  6. Как проходит процедура аудита, как к нему готовится?
  7. Как влияет на работу компании внедрение стандарта?

Индивидуальная методология, подробный план внедрения, знания систем информационной безопасности и политик в данном случае представляет большую ценность. Наши специалисты готовы предоставить комплекс работ и услуг для подготовки к прохождению аудита PCI DSS.

Техническое описание:

Технически путь к соответствию PCI DSS лежит через понимание стандарта всем персоналом задействованном в обработке и хранении карточных данных. На практике, движение в сторону соответствия стандартам безопасности, начинается с обследования объекта и выделения защищаемой области. Далее проводятся работы по минимизации количества объектов, обрабатывающих карточные данные. После того, как все бизнес процессы задокументированы и роли определены, можно приступать непосредственно к внедрению стандарта.

Внедрение стандарта - это ,прежде всего, создание соответствующих административных политик безопасности, техническое отображение этих политик в устройствах обрабатывающих карточные данные, запуск или ревизия процессов, обеспечивающих выполнение политик (управление изменениями), мониторинг отработки политик (управление инцидентами) и сопутствующих административных и технических процедур как то сканирование и управление уязвимостями.

Компания Brainkeeper предлагает различные виды подготовки компаний к аудиту на соотвсетствие стандарту PCI DSS в зависимости от количества обрабатываемых транзакций: как правило, это решение для 300 тыс. транзакций в год и решение для более масштабных объемов.
 
 
Copyright © Brainkeeper. Designed by Visualizers, developed by Gyrus Solutions.