23.03.2018
В tej publikacji lider projektu GetPCI, Dmytro Petraschuk, odpowie na 15 pytań dotyczących certyfikacji standardu PCI DSS.
Dzięki jego odpowiedziom można uzyskać szczegółowe informacje na temat tego, na co powinni zwracać uwagę wszyscy przedstawiciele biznesu przed przystąpieniem do certyfikacji zgodnie ze standardem.
Pytanie nr 1: Czym jest projekt GetPCI i jaki cel przyświecał jego utworzeniu?
Rozpoczęliśmy projekt GetPCI na początku 2017 roku. Zrozumieliśmy, że w Polsce i na Ukrainie praktycznie brakuje witryn internetowych, które prostym i zrozumiałym językiem informowałyby przedstawicieli małego i średniego biznesu na temat standardu PCI DSS oraz konieczności ochrony danych kart płatniczych.
Rynek konsultingu z zakresu certyfikacji PCI DSS już istniał, ale zawsze był skoncentrowany na dużych przedsiębiorstwach - dużych bankach, centrach przetwarzania i bramkach płatniczych. Natomiast przedstawiciele małego biznesu, takie jak handlowe firmy, biura podróży, hotele, sklepy i twórcy portali internetowych, często nie mieli gdzie znaleźć informacji na temat bezpieczeństwa kart płatniczych oraz procedury certyfikacji zgodnie ze standardem PCI DSS.
Nasz projekt GetPCI dostarcza pełnych informacji dla każdego przedsiębiorstwa.
I bardzo ważne jest, aby kierownicy i przedstawiciele biznesu, zanim zamówią usługi związane z certyfikacją zgodnie ze standardem PCI DSS dla swoich firm, mieli dostęp do tych informacji. Przecież najczęściej zdarza się, że firmy, nie posiadając odpowiednich informacji na temat standardu PCI DSS, marnują znaczne środki w sposób nieefektywny.
Pytanie nr 2: Co to jest PCI DSS?
Systemy płatnicze VISA i MasterCard opracowały szereg wymagań. Wszyscy, którzy akceptują karty płatnicze lub uczestniczą w przetwarzaniu danych, muszą spełniać te wymagania. PCI DSS to standard bezpieczeństwa, dlatego ważne jest, aby firmy dostosowywały się do tego standardu.
Pytanie nr 3: Jakie usługi świadczycie swoim klientom?
Nasi klienci mają szczęście, ponieważ mogą skorzystać z najszerszej gamy usług. Wszystkie usługi mają na celu pomoc w podniesieniu poziomu bezpieczeństwa i ochrony firmy.
Oprócz audytu i certyfikacji zgodnie ze standardem PCI DSS, przeprowadzamy ocenę zabezpieczeń sieci i aplikacji firmy, wykrywamy i analizujemy podatności. Bardzo istotną usługą jest również śledzenie incydentów, takich jak włamania, zakażenia wirusami czy kradzieże danych.
Nasza firma oferuje klientom opracowywanie polityki wewnętrznej oraz konsultacje w zakresie wszystkich kwestii związanych z cyberbezpieczeństwem.
W obszarze cyberbezpieczeństwa możemy świadczyć dla klientów dowolne usługi, ale zawsze z poszanowaniem obowiązującego prawa.
Pytanie nr 4: Kto są waszymi klientami?
Nasi klienci to firmy, które dążą do rozwoju swojego biznesu, poszukują nowych możliwości i są gotowe działać w sposób zgodny z nowoczesnym światem biznesu.To firmy, dla których cyberbezpieczeństwo nie jest ograniczeniem, ale bodźcem do rozwoju lub nowych możliwości.
Pytanie nr 5: Co klienci uzyskują jako rezultat współpracy z wami?
Dzięki współpracy z nami, nasi klienci zyskują pewność, że dane ich firmy i danych ich klientów są bezpieczne. Mogą być spokojni, ponieważ przeszli certyfikację PCI DSS, a ich biznes jest chroniony, co pozwala uniknąć problemów z regulatorami takimi jak VISA, MasterCard, IATA itp.
Pytanie nr 6: Jakie dodatkowe korzyści uzyska klient, decydując się na certyfikację zgodnie ze standardem PCI DSS?
Korzyści są oczywiste - ogólna poprawa odporności firmy na ataki cybernetyczne i inne naruszenia bezpieczeństwa.
Przykładem może być sytuacja z jednym z naszych klientów (nie ujawnimy nazwy banku). W czerwcu 2017 roku w Polsce doszło do masowego ataku hakerskiego, w wyniku którego ucierpiało tysiące firm, w tym nasz klient. Jednak część sieci banku, gdzie przetwarzane są dane kartowe, nie ucierpiała z powodu działania wirusa. Ta część wcześniej przeszła certyfikację zgodnie ze standardem PCI DSS. Biznes nie zatrzymał się na chwilę.
To dowodzi, że korzyści są liczne. Są one szczególnie odczuwalne, gdy firmy są narażone na ataki hakerskie.
Pytanie nr 7: Kim jest wasz zespół, kim są ci ludzie?
Zgromadziliśmy zespół prawdziwych profesjonalistów, z doświadczeniem od 5 do 20 lat w różnych dziedzinach: handlu, finansów, produkcji, strukturach rządowych.
Każdy z nich posiada certyfikat potwierdzający wysokie kwalifikacje w danej dziedzinie. Niektórzy audytorzy posiadają nie tylko certyfikaty związane ze standardem PCI DSS, ale także 5-6 certyfikatów potwierdzających wysokie kwalifikacje w innych obszarach bezpieczeństwa informacyjnego.
Pytanie nr 8: Dlaczego zajmujesz się tym projektem?
Zajmuję się doradztwem w zakresie cyberbezpieczeństwa różnych firm od 2003 roku.
Gdy w 2007 roku pojawił się standard PCI DSS, uznałem go za najbardziej praktyczny i zwięzły zestaw wymagań.
Odczuwam ogromną satysfakcję z tego, jak na moich oczach rośnie cyberodporność ukraińskich firm, i widzę, że wnoszę swój wkład w rozwój mojego kraju.
Pytanie nr 9: Jakie są cele waszego zespołu, do jakiego poziomu chcecie dojść w tej branży?
Naszym celem jest stać się głównym źródłem informacji o standardzie PCI DSS numer jeden na Ukrainie і Polsce. W naszych planach nie tylko jest uruchomienie portalu getpci.com, ale także przeprowadzanie szkoleń, seminarów, webinariów, publikowanie artykułów, tworzenie informacyjnych broszur oraz oczywiście uruchomienie kanału na YouTube.
Planujemy stworzyć wiele projektów i zdobyć wiodącą pozycję na rynku w tej dziedzinie.
Pytanie nr 10: Od czego byście zastrzegli przyszłych klientów?
Firmom, które zastanawiają się nad cyberbezpieczeństwem lub planują uzyskać certyfikat PCI DSS, należy bardzo ostrożnie podchodzić do wyboru dostawcy usług w tej dziedzinie. Należy wcześniej zebrać wszystkie informacje, a nie kierować się tanimi ofertami, ponieważ można nie uzyskać oczekiwanych rezultatów lub marnotrawić środki.
Bardzo ważne jest, aby przedstawiciele biznesu zrozumieli, że certyfikat PCI DSS to nie tylko formalne potwierdzenie, ale realne świadectwo tego, że firma naprawdę troszczy się o swoje bezpieczeństwo.
Pytanie nr 11: Każda firma dba o zachowanie swojego budżetu, czy można zbudować system cyberbezpieczeństwa z ograniczonym budżetem?
Można zbudować system cyberbezpieczeństwa z dowolnym budżetem. Wszystko zależy od tego, ile zasobów i czasu firma jest gotowa przeznaczyć, jaką część struktury jest gotowa przekazać pod kontrolę zewnętrznych konsultantów.
Sukcesywni przedsiębiorcy rozumieją, że aby pozostać skutecznymi, muszą skoncentrować się na swoich podstawowych procesach biznesowych. A wszystkie kwestie związane z zapewnieniem bezpieczeństwa i uzyskiwaniem certyfikatu PCI DSS można powierzyć profesjonalistom.
Pytanie nr 12: Czy klienci mogą liczyć na zniżki?
Nasza firma oferuje system zniżek klientom, którzy przeprowadzają ponowną certyfikację zgodnie ze standardem PCI DSS lub podpisują z nami długoterminowe umowy.
Mamy także specjalne promocje związane z naszymi wydarzeniami informacyjnymi, takimi jak seminaria, webinaria itp. Podczas tych wydarzeń oferujemy klientom atrakcyjne ceny.
Pytanie nr 13: Co robicie, jeśli zauważycie, że nie zdążacie wykonać swojej pracy dokładnie w terminie?
Budowa systemu cyberbezpieczeństwa i certyfikacja zgodnie ze standardem PCI DSS to proces, w którym uczestniczą obie strony - konsultant i klient. Z tego powodu opracowaliśmy elastyczne terminy certyfikacji. Zrobiliśmy to, aby dać naszym klientom możliwość optymalnego rozdzielenia swoich zasobów i czasu.
Jeśli występują opóźnienia, wynikają one z tego, że klient długo usuwa wszystko, co nie spełnia wymagań standardu. Spełniamy nasze zobowiązania terminowo i robimy wszystko, co w naszej mocy, aby współpraca z naszą firmą była wygodna i komfortowa dla klienta.
Pytanie nr 14: Do was zgłosił się biznesmen, który chce kupić niewielką sieć sklepów obuwniczych. Co możecie poradzić, na co warto zwrócić uwagę?
Przede wszystkim musi on koniecznie tworzyć sklep internetowy. Należy zwrócić uwagę, aby w sklepie i na stronie internetowej były dostępne wygodne metody płatności, aby klienci mogli łatwo płacić kartą za pomocą systemów VISA payWave i MasterCard paypass.
Jeśli ten biznesmen planuje sprzedawać obuwie ludziom do czterdziestu lat, musi stworzyć aplikację mobilną.
Najważniejsze to jednak znalezienie profesjonalistów, którzy pomogą zanalizować wszystkie zagrożenia i ryzyka oraz zbudować system ochrony cybernetycznej. Bardzo ważne jest przejście certyfikacji PCI DSS, co gwarantuje bezpieczeństwo biznesu.
Pytanie nr 15: Jaką radę możecie dać przyszłym klientom?
Zawsze trzeba rozumieć, że cyberbezpieczeństwo z czasem staje się droższe. Jeśli hakerzy włamią się do systemu komputerowego firmy, będzie to kosztować znacznie więcej niż zbudowanie własnego systemu zabezpieczeń i przejście certyfikacji zgodnie ze standardem PCI DSS.
Dyrektor projektu GetPCI Dmitro Petrashchuk.