Консалтинг PCI DSS/PA-DSS

Стандарт разработан сообществом PCI Security Standards Council, в которое входят мировые лидеры на рынке платежных карт, такие как American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International. Сертификация на соответствие требованиям стандарта серии PCI DSS позволит не только получить имиджевое преимущество, но и выполнять обязательные нормативные требования в области информационной защиты для финансовых организаций (например, Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48. Зарегистрировано в Министерстве юстиции Республики Казахстан 18 апреля 2018 года № 16772. «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах»
То есть с помощью сертификации Вы можете закрыть несколько нормативных требований в области информационной безопасности, такие как проведение независимых аудитов ИБ на регулярной основе, проведение сканирования систем на уязвимости (например, ASV-сканирование) тестирование на проникновение. Все эти задачи решает сертификация PCI DSS.

Стандарт PCI DSS предусматривает комплексный подход к обеспечению информационной безопасности. PCI DSS объединяет программы платежных систем VISA Account Information Security (AIS), Visa Cardholder Information Security Program (CISP) и программу MasterCard Site Data Protection (SDP). Решение о создании стандарта было вызвано резким увеличением числа инцидентов, связанных с утечкой данных о держателях платежных карт.

Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, e-commerce и т.п.). Причем требования относятся только к тем информационным системам компании, в которых обрабатывается или хранится информация о платежных картах, а также к системам, которые с ними взаимосвязаны. При этом необходимо помнить, что возможно проведение не только полноценного аудита PCI DSS, но и сокращенный вариант услуги как заполнение и регистрация листа самооценки SAQ. Задайте вопрос нашим специалистам, и мы подберем для Вас оптимальный вариант прохождения процедуры соответствия требованиям стандарта PCI DSS без лишних затрат.

Скачать стандарт PCI DSS 3.2.1 на русском языке

Основные требования Стандарта:

• наличие средств защиты ИБ и постоянное их обновление

• применение инструментов для защиты корпоративных сетей (парольная политика и т.д.)

• обеспечение системы на проведение регулярных проверок состояния инфраструктуры, включая регулярное сканирование на уязвимости (ASV) и тестирование на проникновение

• обеспечение защиты данных держателей платежных карт, передача данных по протоколам защиты, наличие шифрования данных и т.д.

• наличие и строгое выполнение Политики ИБ

• проведение регулярных проверок на соответствие ИБ

• наличие рабочего алгоритма действий при взломе системы и т.д.

• внедрение контрольных мер по доступу к хранилищу, соответствующие Политики и ответственности

PCI DSS в Казахстане

В соответствии с требованиями Постановления Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48. Зарегистрировано в Министерстве юстиции Республики Казахстан 18 апреля 2018 года № 16772. «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах», в банке должна быть разработана и внедрена система управления информационной безопасностью с проведением мониторинга эффективности СУИБ и проведения внутренних и внешних проверок, включая тестирование на проникновение (ПЕНТЕСТ) экспертными организациями.

Как пройти сертификацию по PCI DSS

Наша компания занимается полным циклом предоставления услуги по сертификации PCI DSS – от разработки документации в соответствии со стандартом PCI DSS v 3.2.1 до обеспечения сертификации одобренным органом в системе PCI Security Standards Council. В эту услугу входят следующие этапы работ:

• определение области сертификации

• проведение анализа первичной информации

• разработка\актуализация документации в соответствии с требованиями PCI DSS

• тестирование на проникновение

• ASV-сканирование

• проведение корректирующих мер и рекомендаций (при необходимости)

• проведение сертификационного аудита

• оформление отчетных документов\сертификат

• консультационная поддержка в течение года (срок действия сертификата), что включает в себя:

• ежеквартальное ASV-сканирование с предоставлением информации об уязвимостях и рекомендациями

• текущее консультирование по поддержанию соответствия требований PCI DSS (взаимодействие с Клиентами, внесение изменений в документацию, распределение ответственности и т.д.).

Стандарт PA-DSS