7 января 2009 года
поиск
Информзащита

Контакты

127018, Россия, Москва, а/я 55,
ул. Образцова, 38

+7 (495) 980-23-45 (многоканальный)

Аудит на соответствие стандарту PCI DSS

Основные проблемы

Payment Card Industry Data Security Standard (Стандарт защиты информации в индустрии платежных карт) — это набор требований к безопасности данных держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover.

Цель разработки стандарта — повысить защищенность электронных торговых и платежных систем.

Решение о создании данного единого Стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщающих о кражах или утечке конфиденциальной информации касательно счетов их клиентов.

Стандарт PCI DSS является обязательным во всем мире, в том числе на территории стран CEMEA куда входит и Россия.

Действие Стандарта распространяется на всех тех, кто передает, обрабатывает и хранит данные держателей карт. Для ряда организаций, таких как мерчанты (торгово-сервисные предприятия), поставщики услуг (service providers), работающих с международными платежными системами, обязателен ежегодный аудит с привлечением сертифицированной аудиторской компании (QSA).

Непрохождение компаниями обязательной ежегодной процедуры аудита может повлечь за собой штрафные санкции со стороны международных платежных систем. Невыполнение требований стандарта PCI DSS может привести к значительным убыткам в случае возникновения утечки данных платежных карт, связанным с возмещением затрат на перевыпуск платежных карт всех банков, клиенты которых пострадали или могли пострадать в результате утечки.

Решение

Компания «Информзащита» имеет статус «Qualified Security Assessor», что дает ей официальное право проводить аудит на соответствие требованиям стандарта PCI DSS.

С середины 2006 года компанией «Информзащита» было реализовано более 35 аудитов банков и процессинговых центров на соответствие требованиям PCI DSS. В процессе работ аудиторами компании был накоплен богатый практический опыт реализации необходимых процедур, отточена методика проведения аудита, аккумулировано и проанализировано огромное количество информации, касающейся несоответствий требованиям стандарта, а также основных причин этих несоответствий.

В рамках предоставления услуги по проведению аудита на соответствие требованиям PCI DSS специалисты компании «Информзащита» выполнят следующие работы:

1. Подготовка и планирование аудита:

  • Получение и анализ документов
  • Определение области контроля, и состава ресурсов сегмента обработки платежных карт
  • Планирование и согласование времени проведения проверок, задействованных в них сотрудников Клиента, для минимизации воздействия на бизнес процессы Клиента

2. Проведение проверок согласно утвержденным процедурам аудита:

  • Сбор информации по техническим проверкам
  • Анализ информации по техническим проверкам
  • Сбор и анализ информации для процессных проверок

3. Анализ результатов, формирование предварительного Отчета о соответствии:

  • Обобщение и компоновка результатов
  • Контроль результатов выполнения проверок
  • Формирование предварительного Отчета о соответствии

4. Презентация Клиенту предварительного Отчета о соответствии:

  • Представление Клиенту результатов аудита, с аргументацией оценок о несоответствии (в случае их наличия)
  • Ответы на вопросы клиента о проведенных проверках
  • Согласование дальнейших действий по формированию окончательного Отчета

5. Согласование с Клиентом и формирование окончательного Отчета (на русском языке):

  • Окончательное оформление документа, детализация описаний и методов проверок, контроль ссылок на свидетельства аудита
  • Согласование с Клиентом спорных вопросов
  • Выработка рекомендаций, формирование Action plan.
  • При заключении о полном соответствии, перевод Отчета на английский язык

6. Уведомление МПС о результатах аудита:

  • При заключении о соответствии, отправка МПС результата проведения аудита и английской версии отчета
  • При заключении о несоответствии, производится отправка МПС предоставленного и согласованного Action plan

Аудит производится согласно требованиям PCI DSS по следующим направлениям:

1. Построение и поддержка безопасности сети:

  • наличие межсетевых экранов для защиты данных и актуальность их конфигурации;
  • отсутствие настроек безопасности и паролей по умолчанию оборудования и программного обеспечения.

2. Защита данных держателей карт:

  • обеспечение защиты хранящихся данных;
  • обеспечение шифрования данных владельцев карт и других важных данных при их передаче через общедоступные сети.

3. Поддержка программы управления уязвимостями:

  • использование и регулярное обновление антивирусного программного обеспечения;
  • разработка и поддержка безопасности систем и приложений.

4. Реализация мер по строгому контролю доступа:

  • разграничение доступа к данным по принципу минимальной достаточности;
  • присвоение уникальных идентификаторов всем пользователям;
  • ограничение физического доступа к данным держателей карт.

5. Регулярный мониторинг и тестирование сетей:

  • отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт;
  • проведение периодического анализа процессов обеспечения безопасности и журналов средств информационной безопасности.

6. Поддержка политики защиты информации:

  • наличие и исполнение политики информационной безопасности.

Также компания «Информазщита» предлагает консалтинговые услуги по достижению соответствия требованиям стандарта PCI DSS

Выгоды

В результате прохождения аудита на соответствие требованиям стандарта PCI DSS компания получает следующие основные выгоды:
  • прохождение обязательной процедуры аудита, требуемой международными платежными системами
  • формирование общественного мнения о честном имени и стабильном положении компании на рынке и как следствие повышение доверия со стороны потребителей
  • предотвращение и/или снижение рисков от инцидентов связанных с информационной безопасностью
  • рост клиентской базы и бизнеса в целом
  • снижение рисков от возможного разглашения компрометирующей информации
  • повышение осведомленности персонала аудируемой компании в вопросах обеспечения информационной безопасности.

Наши клиенты

В числе наших клиентов: Банк "Зенит", "Armenian Card", "Банк Возрождение", "МДМ Банк", "ВТБ 24", компания "Compass Plus", процессинговая компания UCS, "Национальные Кредитные Карточки" (NCC), Банк "Санкт-Петербург", "Собинбанк", "АлемКард", Банк "Петрокоммерц", “ВымпелКом”, “Белинвестбанк” и другие компании.


Хотите получить дополнительную информацию по услугам нашей компании по направлению PCI DSS?