Дякуємо!
Ми зв'яжемося з вами найближчим часом
Повний комплекс послуг для сертифікації за стандартом PCI DSS
22.07.2019
Найрізноманітнішому сучасному бізнесу необхідно пройти сертифікацію за стандартом PCI DSS. Природно, що керівництво компаній виникає дуже багато питань. Під час численних переговорів із замовниками ми з'ясували, що існують такі питання, які цікавлять більшість наших клієнтів.
У цій статті ми вирішили дати детальну відповідь на п'ять найпоширеніших питань про стандарт PCI DSS.
Перше запитання:Чи потрібно нам проходити сертифікацію PCI DSS, якщо наша компанія не зберігає дані платіжних карток?
У стандарті PCI DSS сказано, що його вимоги поширюються на всі компанії, які зберігають, обробляють або передають дані платіжних карток. Також вимоги стандарту поширюються на компанії в тому випадку, якщо вони потенційно мають можливість будь-яким чином впливати на безпеку платіжних карток.
Компанія може і не зберігати дані платіжних карток, але пройти сертифікацію вона зобов'язана. Якщо компанія передає дані платіжних карток по мережі, використовує ці дані або може отримати доступ до них, то така компанія автоматично стає учасником платіжної системи та має пройти сертифікацію PCI DSS.
Наведемо приклад для демонстрації таких випадків. Інтернет-провайдер, який надає канали передачі даних для процесингового центру чи дата-центру. На майданчику процесингового центру розміщуються сервери клієнтів, які зберігають карткові дані. Дана компанія (інтернет-провайдер) потенційно має доступ до даних платіжних карток, отже, вона має проходити сертифікацію за стандартом PCI DSS.
Друге питання:Чи потрібно запрошувати аудитора PCI DSS для проходження сертифікації?
Якщо у вас невелика компанія, і ви обробляєте картами до 300 тисяч транзакцій на рік, у такому разі можна пройти сертифікацію за спрощеною процедурою. Така процедура передбачає самостійне заповнення найпростішої анкети. Ми називаємо це сертифікацією за допомогою самоопитувальної анкети.
Можна не запрошувати сертифікованого аудитора, але тоді необхідно мати в штаті компанії сертифікованого внутрішнього аудитора ISA. Буде незайвим помітити той факт, що навчання та сертифікація такого фахівця займає близько двох місяців, і її вартість складає близько 5-6 тисяч доларів США.
Є ще один фактор, що обмежує. Для проведення платежів необхідно підключити свою компанію до банків або платіжних шлюзів. А ці організації можуть вимагати підпису зовнішнього аудитора QSA на вашій анкеті.
Виходячи з вищесказаного, зробимо простий висновок: теоретично можна обійтися і без зовнішнього аудитора, а на практиці – вигідніше та простіше звернутися до нього, це допоможе заощадити і час, і гроші.
Третє питання:Чи можна просто придбати сертифікат PCI DSS без проходження аудиту?
Наша відповідь: НІ!
Це не тому, що аудитори незговірливі, а тому, що сам по собі сертифікат не є підтвердженням відповідності стандарту PCI DSS і як документ жодної цінності не має.
Компанія, що успішно пройшла аудит і сертифікацію за стандартом PCI DSS, окрім самого сертифіката, отримує ще два дуже важливі документи:1) Атестат відповідності. Саме його необхідно надавати на вимогу до банків та платіжних систем.2) Для дрібних і середніх підприємств - це самоопитувальна анкета, а для великих компаній - це звіт про відповідність.
Формат цих двох документів жорстко зафіксовано Радою стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC). Зразки документів доступні на їх сайті, і їх можна самостійно вивчити.
Четверте питання:Чи потрібно проходити сертифікацію за стандартом PCI DSS у тому випадку, якщо наша компанія не має жодної ІТ-інфраструктури?
Тільки невелика частина вимог PCI DSS відноситься до ІТ-інфраструктури. Більшість стандарту описує те, як мають бути організовані бізнес-процеси, і говорить про те, як має бути побудована система правил і процедур компанії.
Навіть якщо в компанії немає жодного комп'ютера чи сервера, але є співробітники, які можуть так чи інакше отримати доступ до карткових даних, отже, має бути запроваджено політику інформаційної безпеки, реалізовано механізми контролю доступу до карткових даних та пройдено процедуру сертифікації PCI DSS.
Приклад із нашої практики. Ми маємо замовника, співробітники якого надають послуги аутсорсингу для українських банків. У ході надання послуг співробітникам цієї компанії необхідно отримувати доступ до критичних систем банків, які опрацьовують дані платіжних карток. Ця компанія не має ІТ-інфраструктури.
Ми провели успішну сертифікацію цієї компанії. Це сталося завдяки тому, що було коректно збудовано процеси навчання та контролю співробітників замовника.
Отже, трапляються випадки, коли компанія не має ІТ-інфраструктури, а відповідати стандарту PCI DSS просто необхідно для здійснення бізнес-процесів.
П'яте питання:Скільки часу діє сертифікат PCI DSS, і чи потрібна повторна сертифікація?
Сертифікацію за стандартом PCI DSS необхідно проходити щорічно, при цьому повторний сертифікат має бути отриманим до закінчення дії попереднього. Компаніям, які не бажають переривати період дії сертифіката, слід заздалегідь подумати про те, щоб пройти всі процедури до дати закінчення дії сертифіката.
Зазвичай повторна сертифікація стандарту PCI DSS займає менше часу, ніж первинна. У компанії, яка повторно проводить сертифікацію для своїх клієнтів, може діяти система знижок. У нашій компанії такі знижки є, і ми їх надаємо всім клієнтам під час проходження повторної сертифікації.
У цій статті ми торкнулися п'яти найпоширеніших питань. Звісно, у вас можуть виникнути інші питання. Ми надамо відповідь на будь-яке з них. Для цього вам необхідно зв'язатися з нашим консультантом за допомогою форми зворотного зв'язку.
Автори статті: Дмитро Петращук та Олександр Куберський
Заповни форму зворотного зв'язку, і наші фахівці нададуть консультацію найближчим часом.