17.04.2019
PCI DSS, czyli Standard Bezpieczeństwa Danych Branży Kart Płatniczych, składa się z 12 sekcji wymagań. Standard ten został opracowany tak, aby obejmować wszystkie aspekty bezpieczeństwa informacji każdej firmy.
PCI DSS to zestaw najlepszych praktyk istniejących w chwili obecnej, a przestrzeganie tych zaleceń pomoże chronić firmę przed wszelkimi atakami hakerów i innymi przestępcami zajmującymi się cyberprzestrzenią.
Ogólna liczba zaleceń lub wymagań w standardzie wynosi 250 punktów. Natychmiastowe spełnienie wszystkich tych wymagań to cel, który jest dość trudny do osiągnięcia. Wymagania są bardzo zróżnicowane i dotyczą różnych obszarów działalności firmy: ● Wewnętrzne procesy biznesowe; ● Polityki i procedury; ● Szkolenie i praca personelu; ● Różne systemy informatyczne.
W procesie przygotowania i przeprowadzania certyfikacji PCI DSS często zaangażowane są jednocześnie kilka działów firmy. W proces ten zaangażowane są nie tylko działy technologii informacyjnych i ochrony informacji, ale także dział kadr, dział wewnętrznej ochrony fizycznej, najwyższe kierownictwo i inne działy biznesowe, które współpracują z klientami i właścicielami kart płatniczych.
Standard PCI DSS jest starannie przemyślany i wymaga różnych transformacji wewnątrz firmy, dlatego proces certyfikacji rzadko przebiega szybko i bezproblemowo.
Rozumiejąc trudności, z jakimi borykają się firmy, Rada PCI DSS proponuje stopniowe podejście do wdrożenia wymagań standardu. Oznacza to podzielenie całego zestawu wymagań na 6 kluczowych etapów, które należy przejść. Te etapy najlepiej przechodzić sekwencyjnie. Zostały one zaprojektowane tak, aby skoncentrować się na najważniejszych zadaniach z punktu widzenia bezpieczeństwa.Same wymagania dotyczące tych 6 etapów w standardzie PCI DSS nie są ułożone jeden po drugim; są one rozproszone wśród wszystkich innych wymagań.
Przeanalizujmy te 6 etapów:1. Usunięcie wszystkich istotnych danych uwierzytelniających karty. Jeśli dane karty są niezbędne dla biznesu, należy przechowywać je przez możliwie krótki okres. Ten etap pozwala skoncentrować się na ochronie przed włamaniem do systemów informatycznych i uniknięciu wycieku danych kart.2. Zapewnienie ochrony sieci i systemów informatycznych oraz przygotowanie się do ataków hakerów. Wdrożenie środków bezpieczeństwa związanych z tym etapem pozwala zapewnić minimalny poziom ochrony dla firmy.3. Zabezpieczenie programów przetwarzających dane kartowe. Należy szczególnie zwrócić uwagę na ochronę programów płatniczych, w tym witryn internetowych, aplikacji mobilnych oraz oprogramowania na stanowiskach kierowniczych i operatorów.4. Zapewnienie stałego monitoringu dostępu do systemów. Pozwala to na szybkie wykrywanie naruszeń, zarówno ze strony zewnętrznych hakerów, jak i własnych pracowników.5. Skuteczne zabezpieczenie przechowywanych w firmie danych kartowych. Realizacja tego etapu obejmuje wdrożenie systemów szyfrowania oraz zarządzania kluczami kryptograficznymi. Klucze używane do tworzenia szyfrów są bardzo ważne, dlatego ważne jest ich właściwe tworzenie, przechowywanie, dystrybuowanie, niszczenie i kontrolowanie dostępu do nich.6. Ten etap koncentruje się na monitorowaniu zgodności z normą PCI DSS i wdrażaniu w firmie procesów zapobiegających przyszłym naruszeniom i niedopełnieniom wymagań. Najpierw wprowadzane są wymagania, a następnie utrzymywane i wypełniane są te wymagania.Przechodzenie przez etapy to priorytetowe lub uprzywilejowane podejście do certyfikacji zgodnie ze standardem PCI DSS.
Podejście sekwencyjne do wykonywania i wdrażania wszystkich przedstawionych na tych 6 etapach kroków ma kilka korzyści:● Opracowany gotowy plan wdrażania wymagań PCI DSS dla firmy;● Posiadanie planu ułatwia planowanie budżetu i innych niezbędnych zasobów;● Wykorzystanie uprzywilejowanego podejścia pozwala mierzyć postęp we wszystkich niezbędnych transformacjach dla uzyskania certyfikacji PCI DSS.
Aby przejść przez wszystkie te 6 etapów, Rada PCI DSS opracowała niezbędny szablon raportu. Jest on łatwy w wypełnieniu, zrozumiały dla wszystkich audytorów i może być używany do demonstracji stopnia zgodności ze standardem PCI DSS.
W praktyce mieliśmy przypadki, kiedy firma VISA żądała wypełnionego raportu z uprzywilejowanego podejścia. Służyło to jako swoisty dowód na to, że firma spełnia wymagania i podejmuje wszystkie kroki w celu uzyskania certyfikatu.
Takie podejście do certyfikacji zgodnie ze standardem PCI DSS jest najbardziej skuteczne. Dlatego nasi specjaliści zawsze go przestrzegają w projektach, które realizujemy.
Wszyscy nasi klienci po przeprowadzeniu wstępnego audytu otrzymują odpowiedni raport i mapę drogową z uprzywilejowanego podejścia.
Potrzebujesz certyfikacji zgodnie ze standardem PCI DSS? Skontaktuj się z naszymi konsultantami dla szybkiej i jakościowej certyfikacji zgodnie ze standardem PCI DSS.