Аудит на соответствие стандарту PCI DSS |
| Материалы на русском языке |
Основные проблемы
Payment Card Industry Data Security Standard (Стандарт защиты информации в индустрии платежных карт) — это набор требований к безопасности данных держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover.
Цель разработки стандарта — повысить защищенность электронных торговых и платежных систем.
Решение о создании данного единого Стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщающих о кражах или утечке конфиденциальной информации касательно счетов их клиентов.
Стандарт PCI DSS является обязательным во всем мире, в том числе на территории стран CEMEA куда входит и Россия.
Действие Стандарта распространяется на всех тех, кто передает, обрабатывает и хранит данные держателей карт. Для ряда организаций, таких как мерчанты (торгово-сервисные предприятия), поставщики услуг (service providers), работающих с международными платежными системами, обязателен ежегодный аудит с привлечением сертифицированной аудиторской компании (QSA).
Непрохождение компаниями обязательной ежегодной процедуры аудита может повлечь за собой штрафные санкции со стороны международных платежных систем. Невыполнение требований стандарта PCI DSS может привести к значительным убыткам в случае возникновения утечки данных платежных карт, связанным с возмещением затрат на перевыпуск платежных карт всех банков, клиенты которых пострадали или могли пострадать в результате утечки.
Решение
Компания «Информзащита» имеет статус «Qualified Security Assessor», что дает ей официальное право проводить аудит на соответствие требованиям стандарта PCI DSS.
С середины 2006 года компанией «Информзащита» было реализовано более 35 аудитов банков и процессинговых центров на соответствие требованиям PCI DSS. В процессе работ аудиторами компании был накоплен богатый практический опыт реализации необходимых процедур, отточена методика проведения аудита, аккумулировано и проанализировано огромное количество информации, касающейся несоответствий требованиям стандарта, а также основных причин этих несоответствий.
В рамках предоставления услуги по проведению аудита на соответствие требованиям PCI DSS специалисты компании «Информзащита» выполнят следующие работы:
1. Подготовка и планирование аудита:
-
Получение и анализ документов
-
Определение области контроля, и состава ресурсов сегмента обработки платежных карт
-
Планирование и согласование времени проведения проверок, задействованных в них сотрудников Клиента, для минимизации воздействия на бизнес процессы Клиента
2. Проведение проверок согласно утвержденным процедурам аудита:
-
Сбор информации по техническим проверкам
-
Анализ информации по техническим проверкам
-
Сбор и анализ информации для процессных проверок
3. Анализ результатов, формирование предварительного Отчета о соответствии:
-
Обобщение и компоновка результатов
-
Контроль результатов выполнения проверок
-
Формирование предварительного Отчета о соответствии
4. Презентация Клиенту предварительного Отчета о соответствии:
-
Представление Клиенту результатов аудита, с аргументацией оценок о несоответствии (в случае их наличия)
-
Ответы на вопросы клиента о проведенных проверках
-
Согласование дальнейших действий по формированию окончательного Отчета
5. Согласование с Клиентом и формирование окончательного Отчета (на русском языке):
-
Окончательное оформление документа, детализация описаний и методов проверок, контроль ссылок на свидетельства аудита
-
Согласование с Клиентом спорных вопросов
-
Выработка рекомендаций, формирование Action plan.
-
При заключении о полном соответствии, перевод Отчета на английский язык
6. Уведомление МПС о результатах аудита:
-
При заключении о соответствии, отправка МПС результата проведения аудита и английской версии отчета
-
При заключении о несоответствии, производится отправка МПС предоставленного и согласованного Action plan
Аудит производится согласно требованиям PCI DSS по следующим направлениям:
1. Построение и поддержка безопасности сети:
-
наличие межсетевых экранов для защиты данных и актуальность их конфигурации;
-
отсутствие настроек безопасности и паролей по умолчанию оборудования и программного обеспечения.
2. Защита данных держателей карт:
-
обеспечение защиты хранящихся данных;
-
обеспечение шифрования данных владельцев карт и других важных данных при их передаче через общедоступные сети.
3. Поддержка программы управления уязвимостями:
-
использование и регулярное обновление антивирусного программного обеспечения;
-
разработка и поддержка безопасности систем и приложений.
4. Реализация мер по строгому контролю доступа:
-
разграничение доступа к данным по принципу минимальной достаточности;
-
присвоение уникальных идентификаторов всем пользователям;
-
ограничение физического доступа к данным держателей карт.
5. Регулярный мониторинг и тестирование сетей:
-
отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт;
-
проведение периодического анализа процессов обеспечения безопасности и журналов средств информационной безопасности.
6. Поддержка политики защиты информации:
-
наличие и исполнение политики информационной безопасности.
Также компания «Информазщита» предлагает консалтинговые услуги по достижению соответствия требованиям стандарта PCI DSS
Выгоды
В результате прохождения аудита на соответствие требованиям стандарта PCI DSS компания получает следующие основные выгоды:-
прохождение обязательной процедуры аудита, требуемой международными платежными системами
-
формирование общественного мнения о честном имени и стабильном положении компании на рынке и как следствие повышение доверия со стороны потребителей
-
предотвращение и/или снижение рисков от инцидентов связанных с информационной безопасностью
-
рост клиентской базы и бизнеса в целом
-
снижение рисков от возможного разглашения компрометирующей информации
-
повышение осведомленности персонала аудируемой компании в вопросах обеспечения информационной безопасности.
Наши клиенты
В числе наших клиентов: Банк "Зенит", "Armenian Card", "Банк Возрождение", "МДМ Банк", "ВТБ 24", компания "Compass Plus", процессинговая компания UCS, "Национальные Кредитные Карточки" (NCC), Банк "Санкт-Петербург", "Собинбанк", "АлемКард", Банк "Петрокоммерц", “ВымпелКом”, “Белинвестбанк” и другие компании.
Хотите получить дополнительную информацию по услугам нашей компании по направлению PCI DSS?
