PCI DSS |
В последние годы по всему миру участились случаи взлома банковских информационных систем, а также факты мошенничества и кражи данных держателей карт. Подобная нездоровая тенденция послужила одной из главных причин, побудивших международные платежные системы объединить свои усилия и принять дополнительные меры для защиты своих клиентов. В этих целях в 2004 году был разработан единый набор требований к безопасности данных — Payment Card Industry Data Security Standard, объединивший в себе требования ряда программ по безопасности таких платежных систем как Visa Int., MasterCard, American Express, Discover Card и JCB. Впоследствии, в сентябре 2006 года, для развития и продвижения стандарта PCI DSS, был создан специальный Совет по безопасности – PCI Security Standards Council (www.pcisecuritystandards.com). Основными функции Совета по безопасности являются разработка и публикация стандартов PCI и всей сопутствующей документации, определение требований к компаниям, планирующим получить сертификацию для проведения аудитов по PCI DSS («QSA») и сканирований («ASV»), осуществление непосредственно самой сертификации, проведение обучающих тренингов для будущих QSA-аудиторов, а также осуществляют контроль качества проведенных аудиторами работ. В свою очередь международные платежные системы принимают отчетность по результатам аудитов и оценивают работу QSA.
Действие стандарта PCI DSS распространяется на все торгово-сервисные предприятия (merchants) и поставщиков услуг (service providers), работающих с международными платежными системами, т.е. на всех тех, кто передает, обрабатывает и хранит данные держателей карт.
Также в зависимости от количества обрабатываемых транзакций каждой платежной системой компании присваивается определенный уровень с соответствующим набором требований, которые должны выполняться в обязательном порядке. Это может быть ежегодное прохождение аудита, ежеквартальные сканирования сети или ежегодное заполнение листа самооценки (Self Assessment Questionnaire – специальная анкета, разработанная PCI SSC для самооценки компаний).
Компания «Информзащита» имеет статусы QSA (Qualified Security Assessor) и ASV (Approved Scanning Vendor) и предлагает следующие услуги в рамках достижения соответствия требованиям стандарта PCI DSS: