04.12.2020
В нашу компанию постоянно обращаются представители банков, розничных торговых сетей, туристических фирм и других предприятий с просьбой помочь им пройти сертификацию на стандарт PCI DSS. Естественно, что у наших клиентов возникает множество самых разных вопросов.
Ключевые специалисты нашей компании решили разработать пошаговую инструкцию, благодаря которой, любой клиент получит информацию о том, что нужно сделать его компании для успешного получения сертификата PCI DSS.
Не будет лишним ещё раз вспомнить, что такое стандарт PCI DSS и зачем он нужен.
Стандарт PCI DSS – это совокупность требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в информационных инфраструктурах организаций.
Payment Card Industry Data Security Standard (PCI DSS) разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами, такими как Visa, MasterCard, American Express, JCB и Discover.
Основная задача стандарта PCI DSS – это обеспечение безопасности сетевой инфраструктуры и защита данных о держателях платёжных карт. За этими данными охотятся злоумышленники с целью хищения денежных средств. Именно поэтому стандарт PCI DSS концентрируется на обеспечении конфиденциальности карточных данных.
Требования стандарта PCI DSS распространяются на торговые предприятия, банки, поставщиков всевозможных услуг и сервисов, розничные магазины, саll-центры, платёжные шлюзы и на другие предприятия и организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платёжных карт.
Что такое сертификация на стандарт PCI DSS мы выяснили. Настало время определить, какие конкретные шаги нужно пройти, чтобы получить этот сертификат.
Шаг 1 – Анкета:
Необходимо заполнить предварительную анкету для выбора и оценки процедуры прохождения сертификации. Это помогает специалистам нашей компании понять, что именно вам нужно, а также оценить стоимость сертификации.
Всех наших клиентов интересует стоимость сертификата и сроки его получения.
Заполнение анкеты – это первый и очень важный шаг. Заполнение анкеты упрощает определение сроков и суммы, необходимых для успешного получения сертификата PCI DSS.
Где же взять эту анкету и как её заполнить?
Анкету вы можете получить на e-mail, как и задать интересующие Вас вопросы нашим экспертам.
Если в ходе телефонного разговора не удастся заполнить анкету, тогда наш консультант приедет к вам в офис. Он разъяснит все нюансы и предостережёт от всех негативных последствий.
Вызов консультанта в ваш офис осуществляется абсолютно бесплатно. Наша компания делает всё возможное для того, чтобы сэкономить ваши средства и время.
Результат первого шага – выбранная процедура прохождения сертификации на стандарт PCI DSS, окончательная цена, этапы и сроки выполнения.
Шаг 2 – Договор:
Для прохождения сертификации по требованиям стандарта PCI DSS необходимо подписать Договор между вашей компанией и компанией IT Специалист.
После подписания Договора вам необходимо внести предоплату в размере 50% от общей суммы на расчетный счёт компании IT Специалист.
Шаг 3 – Технический анализ:
Специалисты и технические эксперты проводят предварительный технический анализ.
Что это значит?
Технический анализ включает в себя много разных действий. Об этом стоит рассказать подробнее:
– В рамках технического анализа проверяют и анализируют имеющуюся техническую и нормативную документацию, наличие которой, требует стандарт PCI DSS. Работа с документацией происходит как в бумажном, так и в электронном виде.
– Проводится индивидуальная беседа с техническими специалистами вашей компании, системными администраторами или разработчиками программного обеспечения. Это нужно для того, чтобы выяснить все технические нюансы и проанализировать, насколько ваша компания следует и отвечает всем требованиям стандарта PCI DSS.
– Производится осмотр помещения, технического оборудования и непосредственно сам процесс обращения с платёжными картами.
– Проводится диагностика состояния защищённости информационных систем вашей компании. Это делается с помощью программных и технических инструментов, а также с помощью специализированных сканеров уязвимости.
Такая диагностика нужна не всем компаниям. Необходимо ли именно вашей компании пройти диагностику, вы узнаете ещё на этапе заполнения анкеты.
В результате вы получаете подробный отчёт. Этот отчёт содержит в себе перечень несоответствий требованиям стандарта PCI DSS. Также в отчёте будут предоставлены рекомендации по их устранению.
Шаг 4 – Промежуточная корректировка:
Устранение всех несоответствий, указанных в отчёте. Это происходит в тесном сотрудничестве специалистов вашей и нашей компаний. Для удобства прохождения этого этапа будет разработан гибкий график взаимного сотрудничества.
Шаг 5 – Сертифицированный аудит:
На данном этапе происходит итоговая проверка или сертификационный аудит. По сути, это окончательная проверка на соответствие всем требованиям стандарта PCI DSS .
По результатам этой проверки ваша компания получает подробный отчёт в электронном виде и аттестат, подтверждающий соответствие всем требованиям стандарта PCI DSS.
Шаг 6 – Оплата:
Происходит официальное оформление вашего сертификата PCI DSS уполномоченным аудитором. Ваша компания оплачивает оставшиеся 50 % от общей суммы, указанной в Договоре.
Шаг 7 – Выдача сертификата соответствия PCI DSS:
Вы получаете сертификат на соответствие стандарту PCI DSS в бумажном виде с мокрыми печатями и подписями. Сертификат можно получить в нашем офисе, либо он будет доставлен в ваш офис курьерской службой.
Шаг 8 – Дальнейшее сотрудничество:
Ваш сертификат PCI DSS действует 12 месяцев. Через 10 месяцев, т.е. за 2 месяца до истечения срока действия, вам необходимо обратиться в нашу компанию для продления вашего сертификата PCI DSS на следующий год. При повторном обращении процедура прохождения упрощается. А стоимость услуг компании значительно уменьшается.
Вот основные шаги, которые необходимо пройти для сертификации на стандарт PCI DSS.
Давайте ещё раз перечислим все восемь шагов, которые необходимо сделать для получения сертификата PCI DSS:
Шаг 1 – Анкета;
Шаг 2 – Договор;
Шаг 3 – Технический анализ;
Шаг 4 – Промежуточная корректировка;
Шаг 5 – Сертифицированный аудит;
Шаг 6 – Оплата;
Шаг 7 – Выдача сертификата соответствия PCI DSS;
Шаг 8 – Дальнейшее сотрудничество.
Авторы статьи:Александр Куберский, Анатолий Журавлёв.Компания ІТ Специалист