Сертификация PCI DSS / Аудит PCI DSS

О стандарте

Организации, хранящие, обрабатывающие и передающие данные платежных карт международных платежных систем (Visa, MasterCard, МИР, American Express, Discover, JCB), обязаны выполнять требования стандарта Payment Card Industry Data Security Standard (PCI DSS). Платежными системами определены периодичность и форма подтверждения соответствия требованиям стандарта PCI DSS, а также санкции за их невыполнение и компрометацию данных платежных карт.

Для помощи организациям в выполнении требований мы предлагаем различные варианты услуги по обеспечению соответствия PCI DSS, учитывающие задачи и специфику клиентов.

Для подготовки предложения заполните нашу анкету. По вопросам стоимости и состава работ можете обращаться на почту: pcidss@infosec.ru.

Варианты оказания услуг

Сертификационная оценка на соответствие требованиям PCI DSS

Услуга предполагает проведение сертификационной оценки соответствия требованиям PCI DSS и предназначена для организаций, реализовавших требуемые стандартом меры защиты и заинтересованных только в итоговой оценке с привлечением QSA-аудитора.

Приведение в соответствие требованиям стандарта PCI DSS

В рамках данного варианта услуги предлагаются консультационные работы по приведению уровня информационной безопасности организации в соответствие требованиям стандарта PCI DSS c «нуля».

Услуга включает в себя:

Поддержание соответствия требованиям PCI DSS

Услуга предназначена для организаций, имеющих сертификат соответствия PCI DSS и заинтересованных в его поддержании и в очередном подтверждении в рамках обязательного ежегодного сертификационного аудита.

Услуга включает в себя:

Помощь в заполнении листа самооценки PCI DSS SAQ

Услуга предназначена для мерчантов и сервис-провайдеров с небольшими объемами транзакций. В рамках услуги эксперты компании «Информзащита» оказывают помощь в проведении оценки соответствия с заполнением листа самооценки PCI DSS SAQ.

Описание этапов

Предварительный аудит

Оценка текущего уровня соответствия платежной инфраструктуры организации требованиям стандарта PCI DSS, формирование плана устранения несоответствий.

Консультационное сопровождение

Консультационная поддержка по устранению несоответствий и подбор компенсационных мер в случае невозможности прямого выполнения требований.

Расширенное консультационное сопровождение в течение года

Консультации оказываются в течение года и направлены на:

Комплексный тест на проникновение по требованиям PCI DSS

Работа направлена на выполнение требования пункта 11.3 стандарта PCI DSS 3.2.1 (11.4 PCI DSS 4.0), включает практическую оценку возможности осуществления несанкционированного доступа к данным платежных карт (ДПК) и/или сетевым ресурсам, обрабатывающим ДПК.

Сканирование PCI ASV

Сканирование PCI ASV обязательно для выполнения пункта 11.2.2 стандарта PCI DSS 3.2.1 (11.3.2 PCI DSS 4.0), а также позволяет организациям оценить защищенность внешнего сетевого периметра, выявить уязвимости и ошибки конфигурации. Подробнее можете узнать на нашем сайте в разделе ASV-сканирование.

Сертификационный аудит PCI DSS

Проведение итоговой сертификационной оценки соответствия требованиям PCI DSS, разработка необходимой отчетной документации в соответствии с требованиями PCI SSC.

Тестирование на проникновение в отношении средств сегментации

Работа направлена на выполнение дополнительного требования для сервис-провайдеров – пункта 11.3.4.1 PCI DSS 3.2.1 (11.4.6 PCI DSS 4.0). Тестирование на проникновение в отношении средств сегментации проводится в ходе повторного внутреннего теста на проникновение и направлено, в первую очередь, на все используемые средства и методы сегментации.