О стандарте

Организации, хранящие, обрабатывающие и передающие данные платежных карт международных платежных систем (Visa, MasterCard, МИР, American Express, Discover, JCB), обязаны выполнять требования стандарта Payment Card Industry Data Security Standard (PCI DSS). Платежными системами определены периодичность и форма подтверждения соответствия требованиям стандарта PCI DSS, а также санкции за их невыполнение и компрометацию данных платежных карт.

Для помощи организациям в выполнении требований мы предлагаем различные варианты услуги по обеспечению соответствия PCI DSS, учитывающие задачи и специфику клиентов.

По вопросам стоимости и состава работ можете обращаться на почту pcidss@infosec.ru.

Варианты оказания услуг

Сертификационная оценка на соответствие требованиям PCI DSS

Услуга предполагает проведение сертификационной оценки соответствия требованиям PCI DSS и предназначена для организаций, реализовавших требуемые стандартом меры защиты и заинтересованных только в итоговой оценке с привлечением QSA-аудитора

Приведение в соответствие требованиям стандарта PCI DSS

В рамках представленного варианта услуги предлагаются консультационные работы по приведению уровня информационной безопасности организации в соответствие требованиям стандарта PCI DSS c «нуля».
Услуга включает в себя:

  • Предварительный аудит;
  • Консультационное сопровождение;
  • Комплексный тест на проникновение по требованиям PCI DSS;
  • Сканирование PCI ASV, сканирование WEB приложений;
  • Сертификационный аудит PCI DSS;
  • Тестирование на проникновение в отношении средств сегментации.

Поддержание соответствия требованиям PCI DSS

Услуга предназначена для организаций, имеющих сертификат соответствия PCI DSS и заинтересованных в его поддержании и в очередном подтверждении в рамках обязательного ежегодного сертификационного аудита.

Услуга включает в себя:

  • Расширенное консультационное сопровождение в течение года;
  • Комплексный тест на проникновение по требованиям PCI DSS;
  • Сканирование PCI ASV, сканирование WEB приложений;
  • Сертификационный аудит PCI DSS;
  • Тестирование на проникновение в отношении средств сегментации.

Помощь в заполнении листа самооценки PCI DSS SAQ

Услуга предназначена для мерчантов и сервис-провайдеров с небольшими объемами транзакций. В рамках услуги эксперты компании «Информзащита» оказывают помощь в проведении оценки соответствия с заполнением листа самооценки PCI DSS SAQ.

Описание этапов

Предварительный аудит

Оценка текущего уровня соответствия платежной инфраструктуры организации требованиям стандарта PCI DSS, формирование плана устранения несоответствий.

Консультационное сопровождение

Консультационная поддержка по устранению несоответствий и подбор компенсационных мер в случае невозможности прямого выполнения требований.

Расширенное консультационное сопровождение в течение года

Консультации оказываются в течение года и направлены на:

  • Приведение в соответствие требованиям PCI DSS новых процессов и систем, внедряемых в течение года;
  • Проверку любых изменений в текущей инфраструктуре Заказчика на предмет соответствия требованиям PCI DSS;
  •  Разработка и реализация плана проверок процессов и инфраструктуры требованиям PCI DSS в течение года.

Комплексный тест на проникновение по требованиям PCI DSS

Работа направлена на выполнение требования пункта 11.3 стандарта PCI DSS, включает практическую оценку возможности осуществления несанкционированного доступа к данным платежных карт (ДПК) и/или сетевым ресурсам, обрабатывающим ДПК.

Сканирование PCI ASV, сканирование WEB приложений

Компания «Информзащита» является сертифицированным поставщиком сканирований PCI ASV. Сканирование PCI ASV обязательно для выполнение пункта 11.2.2 стандарта PCI DSS, а также позволяет организациям оценить защищенность внешнего сетевого периметра, выявить уязвимости и ошибки конфигурации. Сканирование WEB-приложений осуществляется специальным модулем WAS и позволяет выполнить требование 6.5 стандарта PCI DSS.

Сертификационный аудит PCI DSS

Проведение итоговой сертификационной оценки соответствия требованиям PCI DSS, разработка необходимой отчетной документации в соответствии с требованиями PCI SSC.

Тестирование на проникновение в отношении средств сегментации

Работа направлена на выполнение дополнительного требования для сервис-провайдеров – пункта 11.3.4.1 PCI DSS. Повторный внутренний тест на проникновение распространяется на все используемые средства и методы сегментации и направлен, в первую очередь, на их проверку.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!