О стандарте
Организации, хранящие, обрабатывающие и передающие данные платежных карт международных платежных систем (Visa, MasterCard, МИР, American Express, Discover, JCB), обязаны выполнять требования стандарта Payment Card Industry Data Security Standard (PCI DSS). Платежными системами определены периодичность и форма подтверждения соответствия требованиям стандарта PCI DSS, а также санкции за их невыполнение и компрометацию данных платежных карт.
Для помощи организациям в выполнении требований мы предлагаем различные варианты услуги по обеспечению соответствия PCI DSS, учитывающие задачи и специфику клиентов.
Для подготовки предложения заполните нашу анкету. По вопросам стоимости и состава работ можете обращаться на почту: pcidss@infosec.ru.
Варианты оказания услуг
Сертификационная оценка на соответствие требованиям PCI DSS
Услуга предполагает проведение сертификационной оценки соответствия требованиям PCI DSS и предназначена для организаций, реализовавших требуемые стандартом меры защиты и заинтересованных только в итоговой оценке с привлечением QSA-аудитора.
Приведение в соответствие требованиям стандарта PCI DSS
В рамках данного варианта услуги предлагаются консультационные работы по приведению уровня информационной безопасности организации в соответствие требованиям стандарта PCI DSS c «нуля».
Услуга включает в себя:
- Предварительный аудит;
- Консультационное сопровождение;
- Комплексный тест на проникновение по требованиям PCI DSS;
- Сканирование PCI ASV;
- Сертификационный аудит PCI DSS;
- Тестирование на проникновение в отношении средств сегментации
Поддержание соответствия требованиям PCI DSS
Услуга предназначена для организаций, имеющих сертификат соответствия PCI DSS и заинтересованных в его поддержании и в очередном подтверждении в рамках обязательного ежегодного сертификационного аудита.
Услуга включает в себя:
- Расширенное консультационное сопровождение в течение года;
- Комплексный тест на проникновение по требованиям PCI DSS;
- Сканирование PCI ASV;
- Сертификационный аудит PCI DSS;
- Тестирование на проникновение в отношении средств сегментации.
Помощь в заполнении листа самооценки PCI DSS SAQ
Услуга предназначена для мерчантов и сервис-провайдеров с небольшими объемами транзакций. В рамках услуги эксперты компании «Информзащита» оказывают помощь в проведении оценки соответствия с заполнением листа самооценки PCI DSS SAQ.
Консультационные услуги по построению инфраструктуры в соответствии с требованиями PCI DSS
Если на текущем этапе организация только планирует внедрение платежной инфраструктуры, то мы предлагаем:
- Оценка технического задания на соответствие PCI DSS, рекомендации по корректировке или помощь в разработке ТЗ;
- Консультационная поддержка по выбору средств защиты и инфраструктурных решений (WAF, SIEM и др.) без привязки к вендорам;
- Поддержка при размещении инфраструктуры в Yandex.Cloud: помощь в выборе решений, взаимодействие с техническими специалистами, сопровождение внедрения;
- Предоставление и доработка шаблонов нормативных документов: стандарты конфигурирования, политики безопасности, процедуры реагирования, регламенты и инструкции;
- Обучение сотрудников по требованиям PCI DSS: разъяснение стандартов, типичные ошибки и лучшие практики.
Описание этапов
Предварительный аудит
Оценка текущего уровня соответствия платежной инфраструктуры организации требованиям стандарта PCI DSS, формирование плана устранения несоответствий.
Консультационное сопровождение
Консультационная поддержка по устранению несоответствий и подбор компенсационных мер в случае невозможности прямого выполнения требований.
Расширенное консультационное сопровождение в течение года
Консультации оказываются в течение года и направлены на:
- Приведение в соответствие требованиям PCI DSS новых процессов и систем, внедряемых в течение года;
- Проверку любых изменений в текущей инфраструктуре Заказчика на предмет соответствия требованиям PCI DSS;
- Разработка и реализация плана проверок процессов и инфраструктуры требованиям PCI DSS в течение года.
Комплексный тест на проникновение по требованиям PCI DSS
Работа направлена на выполнение требования пункта 11.4 стандарта PCI DSS 4.0.1, включает практическую оценку возможности осуществления несанкционированного доступа к данным платежных карт (ДПК) и/или сетевым ресурсам, обрабатывающим ДПК.
Сканирование PCI ASV
Сканирование PCI ASV обязательно для выполнения пункта 11.3.2 PCI DSS 4.0.1, а также позволяет организациям оценить защищенность внешнего сетевого периметра, выявить уязвимости и ошибки конфигурации. Подробнее можете узнать на нашем сайте в разделе ASV-сканирование.
Сертификационный аудит PCI DSS
Проведение итоговой сертификационной оценки соответствия требованиям PCI DSS, разработка необходимой отчетной документации в соответствии с требованиями PCI SSC.
Тестирование на проникновение в отношении средств сегментации
Работа направлена на выполнение дополнительного требования для сервис-провайдеров – пункта 11.4.6 PCI DSS 4.0.1. Тестирование на проникновение в отношении средств сегментации проводится в ходе повторного внутреннего теста на проникновение и направлено, в первую очередь, на все используемые средства и методы сегментации.