23.03.2018
У цій статті керівник проекту GetPCI Дмитро Петращук відповість на 15 запитань на тему сертифікації стандарту PCI DSS.
Завдяки його відповідям можна отримати докладнішу інформацію про те, на що варто звернути увагу всім представникам бізнесу перед проходженням сертифікації за стандартом.
Питання №1:Що таке проект GetPCI, з якою метою він створений?
Ми запустили проект GetPCI на початку 2017 року. Ми розуміли, що в Україні практично відсутні вебсайти, які б простою, доступною мовою розповідали представникам малого та середнього бізнесу про стандарт PCI DSS та необхідність захисту даних платіжних карток.
Ринок консалтингу з сертифікації PCI DSS вже склався, але він завжди був сконцентрований на великих бізнесах – великих банках, процесингових центрах та платіжних шлюзах. А представникам невеликого бізнесу - торговим компаніям, туристичним фірмам, готелям, магазинам та розробникам онлайн-порталів часто просто ніде отримати інформацію про безпеку в області платіжних карток та процедуру проходження сертифікації за стандартом PCI DSS.
Наш проект GetPCI надає повну інформацію для будь-якого бізнесу.
І дуже важливо, щоб керівники та представники бізнесу перед тим, як замовляти послуги з проходження сертифікації за стандартом PCI DSS для своїх компаній, володіли цією інформацією. Адже найчастіше трапляються випадки, коли компанії, не володіючи необхідною інформацією про стандарт PCI DSS, витрачають чималі гроші недоцільно.
Питання №2:Що таке PCI DSS?
Платіжні системи VISA та MasterCard розробили низку вимог. Ці вимоги необхідно виконувати всім, хто приймає платіжні картки або бере участь в обробці даних. PCI DSS – це стандарт безпеки, тому дуже важливо, щоб компанії відповідали цьому стандарту.
Питання №3:Які послуги ви надаєте своїм клієнтам?
Нашим клієнтам пощастило, оскільки вони можуть отримати найширший спектр послуг. Усі послуги спрямовані на те, щоб допомогти підвищити безпеку та захищеність компанії.
Окрім аудиту та сертифікації за стандартом PCI DSS, ми проводимо оцінку захищеності мережі та додатків компанії, виявляємо та аналізуємо вразливості. Також дуже важлива послуга - це розслідування інцидентів, таких як зломи, зараження вірусами або крадіжка даних.
Наша компанія пропонує своїм клієнтам розробку внутрішньої політики та консультування з усіх питань кібербезпеки.
У сфері кібербезпеки ми можемо надати клієнтам будь-яку послугу, але тільки в рамках чинного законодавства.
Питання №4:Хто ваші клієнти?
Наші клієнти – це ті компанії, які прагнуть розвивати свій бізнес, шукають нові можливості і готові робити це так само, як робить весь сучасний світ бізнесу.
Це компанії, для яких кібербезпека є не обмеженням, а стимулом до розвитку або шляхом нових можливостей.
Питання №5:Що клієнти отримують у результаті?
Завдяки співпраці з нами, наші клієнти отримують впевненість у тому, що дані компанії та дані їх клієнтів захищені. Вони можуть бути спокійні, тому що вони пройшли сертифікацію PCI DSS, і тепер бізнес захищений і не може виникнути проблем із регуляторами: VISA, MasterCard, IATA тощо.
Питання №6:Які додаткові вигоди отримає клієнт, який вирішить пройти сертифікацію за стандартом PCI DSS?
Вигоди очевидні – загальне підвищення стійкості бізнесу компанії до кібератак та інших порушень безпеки.
Прикладом може бути випадок, що стався з нашим клієнтом (це банк, назву якого ми не будемо афішувати). У червні 2017 року в Україні відбулася масштабна атака хакерів, у результаті якої постраждали тисячі компаній, включаючи нашого клієнта. Та частина мережі банку, в якій обробляються карткові дані, від дії вірусу не постраждала. Ця частина раніше пройшла сертифікацію за стандартом PCI DSS. Бізнес не зупинявся ні на хвилину.
Це свідчить, що вигод багато. А особливо вони відчутні тоді, коли компанії тримають удар атак хакерів.
Питання №7:Хто ваша команда, що це за люди?
Ми зібрали команду справжніх професіоналів, кожен із яких має за плечима від 5 до 20 років досвіду у різних галузях: торгівля, фінанси, виробництво, державні структури.
Кожен із них має сертифікат, що підтверджує високу кваліфікацію в тій чи іншій області. Деякі аудитори мають не лише сертифікати, пов'язані зі стандартом PCI DSS, а також 5-6 сертифікатів, що підтверджують високу кваліфікацію в інших сферах інформаційної безпеки.
Питання №8:Чому ви займаєтесь цим проектом?
Я займаюся консультуванням різних компаній із питань кібербезпеки з 2003 року.
Коли в 2007 році з'явився стандарт PCI DSS, я взяв його на озброєння як найбільш практичний та лаконічний набір вимог.
Мені приносить величезне задоволення те, як на моїх очах підвищується кіберзахищеність українських компаній, і я бачу, що роблю певний внесок у розвиток своєї країни.
Питання №9:Які цілі у вашої команди, на який рівень ви хочете вийти у цьому бізнесі?
Наша мета – стати джерелом інформації, що розповідає про стандарт PCI DSS, номер один в Україні. У наших планах не тільки запуск порталу getpci.com, але ще й проведення тренінгів, семінарів, вебінарів, публікація статей, створення інформаційних брошур та, звісно, запуск каналу на YouTube.
Ми плануємо створити багато проектів та зайняти лідируючу позицію на ринку в цій ніші.
Запитання №10:Від чого б ви застерегли майбутніх своїх клієнтів?
Компаніям, які замислюються над кібербезпекою або планують отримати сертифікат PCI DSS, слід дуже уважно підходити до вибору постачальника послуг у цій галузі. Необхідно заздалегідь вивчити всю інформацію, а не гнатися за дешевою пропозицією, оскільки можна не отримати очікуваний результат чи витратити кошти даремно.
Дуже важливо, щоб представники бізнесу розуміли, що сертифікат PCI DSS - це не формальна довідка, а реальне свідчення того, що компанія дійсно піклується про свою безпеку.
Питання №11:Кожна компанія дбає про збереження свого бюджету, чи можна з обмеженим бюджетом побудувати систему кібербезпеки?
Можна з будь-яким бюджетом збудувати систему кібербезпеки. Усе залежить від того, скільки ресурсів та часу компанія готова виділити, яку частину структури готова передати під контроль зовнішнім консультантам.
Успішні бізнесмени розуміють, що для того, щоб залишатися успішними, їм потрібно сконцентруватися на своїх основних бізнес-процесах. А всі питання із забезпечення безпеки та проходження сертифікації за стандартом PCI DSS можна надати професіоналам.
Питання №12:Чи можуть ваші клієнти розраховувати на знижки?
Наша компанія пропонує систему знижок клієнтам, які сертифікуються за стандартом PCI DSS повторно або підписують із нами тривалі контракти.
Також у нас проходять спеціальні акції, присвячені нашим інформаційним заходам: семінарам, вебінарам тощо. На таких заходах ми пропонуємо клієнтам цікаві ціни.
Питання №13:Що ви робите, якщо розумієте, що не встигаєте виконати свою роботу точно в термін?
Побудова системи кібербезпеки та сертифікація за стандартом PCI DSS – це процес, в якому беруть участь обидві сторони – і консультант, і замовник. З цієї причини ми розробили гнучкі терміни сертифікації. Це зроблено для того, щоб дати можливість нашим замовникам оптимально розподілити свої ресурси та час.
Якщо й відбуваються затримки, це через те, що замовник довго усуває все те, що не відповідає вимогам стандарту. Ми свої зобов'язання виконуємо вчасно та робимо все можливе, щоб замовнику було зручно та комфортно співпрацювати з нашою компанією.
Питання №14:До вас звернувся бізнесмен, який хоче купити невелику мережу магазинів із продажу взуття. Що ви можете порадити, на що варто звернути увагу?
Насамперед, йому обов'язково потрібно створювати інтернет-магазин. Варто звернути увагу, щоб у магазині та на сайті були реалізовані зручні способи оплати, щоб клієнти могли легко заплатити карткою за допомогою систем VISA payWave та MasterCard paypass.
Якщо цей бізнесмен планує продавати взуття людям до сорока років, йому необхідно створити мобільний додаток.
А найважливіше - необхідно знайти професіоналів, які допоможуть проаналізувати всі загрози та ризики та побудувати систему кіберзахисту. Дуже важливо пройти сертифікацію PCI DSS, що гарантує безпеку бізнесу.
Питання №15:Яку пораду ви можете надати майбутнім клієнтам?
Завжди треба розуміти, що кібербезпека з часом стає дорожчою. Якщо комп'ютерну систему вашої компанії зламають хакери, це буде коштувати набагато дорожче, ніж створити свою систему безпеки та пройти сертифікацію за стандартом PCI DSS.
Керівник проекту GetPCI Дмитро Петращук.