29.10.2018
Припустимо, ви керівник чи представник компанії. Ви усвідомлюєте, що вашому бізнесу необхідно відповідати стандарту PCI DSS і готові звернутися до аудитора для проходження сертифікації, щоб виконати всі вимоги цього стандарту.
Якщо ви читаєте цю статтю на нашому сайті, це означає, що ви шукаєте компетентного, професійного та досвідченого аудитора. Ви потрапили за адресою! Але перш ніж почати консультуватися на тему сертифікації та підписувати договір з аудитором, необхідно самостійно розібратися в одному важливому питанні. Відповідь на це питання допоможе заощадити час, гроші та сили.
Питання просте: а що ж ви плануєте сертифікувати за стандартом PCI DSS?
Найпростіше рішення – це сертифікувати всю компанію. Але такий підхід зробить сертифікацію тривалою та дорогою.
Чому? Тому що передбачається, що вся компанія, весь персонал, усі ІТ-системи відповідатимуть вимогам PCI DSS.
Ми, як фахівці, які професійно займаються сертифікацією PCI DSS, рекомендуємо зробити наступне: необхідно виділити ту частину компанії, в якій відбувається обробка даних платіжних карток, і підготувати до сертифікації за стандартом PCI DSS тільки цю частину бізнесу.
Для таких дій існує термін – область охоплення PCI DSS, англійською – PCI DSS scope.
Давайте розглянемо те, як визначити область охоплення і тим самим виключити потрапляння до неї тих ІТ-систем та процесів, які до платіжних банківських карток не належать. Це необхідно зробити для збереження часу та бюджету.
Стандарт PCI DSS визначає область охоплення так: усі люди, процеси та технології, що беруть участь у обробці, передачі або зберіганні даних платіжних карток. Ця сфера повинна відповідати вимогам стандарту.
Розглянемо ІТ-інфраструктуру. До області охоплення входять усі сервери, що обробляють карткові дані, і навіть мережеві компоненти, з'єднані із нею, чи які впливають на її захищеність. Щоб зробити область охоплення PCI DSS мінімальною, ми рекомендуємо визначити, які ІТ-системи беруть участь у обробці карткових даних. Потім перенести їх в окремий мережевий сегмент і встановити між цим сегментом та рештою корпоративної мережі файрвол. Цей файрвол блокуватиме всі спроби доступу зі спільної мережі до цього виділеного сегменту.
Таким чином, ви створите так зване середовище обробки даних CDE - Cardholder Data Environment.
До області охоплення стандарту PCI DSS, крім CDE, повинні увійти також файрвол, який відокремлює виділений сегмент, мережне обладнання, що забезпечує комунікацію між серверами, а також сервери, що знаходяться поза CDE, які надають мережеві послуги для карткового процесингу.
Як правило, до охоплення ще включаються сервери, що надають послуги DNS, NTP, Microsoft Acrive Directory.
Таким чином, ви зможете визначити для свого бізнесу область охоплення PCI DSS.
Наступний правильний крок – створення документа, який описує цю область охоплення. Потрібно перерахувати всі сервери, мережеві компоненти, CDE, підрозділ відповідальних співробітників. Цей документ потрібно надати аудитору ще до початку процесу сертифікації.
Наявність чітко визначеної сфери охоплення, зафіксованої документально, дозволить отримати адекватну і не завищену ціну на сертифікацію. А сама сертифікація за стандартом PCI DSS пройде з найменшими ресурсними витратами.
Можливо, у вас виникли питання або труднощі, або у вас є сумнів у правильності своїх дій, пов'язаних зі створенням та описом області охоплення. Звичайно, таку важливу справу, як підготовка до сертифікації, краще довірити професіоналам.
Зв'яжіться з одним із наших експертів у сфері PCI DSS за допомогою форми зворотного зв'язку, що знаходиться внизу сторінки.
Ми допоможемо оптимізувати процес з визначенням області охоплення PCI DSS і проведемо сертифікацію за стандартом у найкоротші терміни.