29.10.2018
Przyjmijmy, że jesteś kierownikiem lub przedstawicielem firmy. Zdajesz sobie sprawę, że twoje przedsiębiorstwo musi spełnić standard PCI DSS i jesteś gotów skorzystać z usług audytora, aby uzyskać certyfikację zgodności z wszystkimi wymogami tego standardu.
Jeśli czytasz ten artykuł na naszej stronie, oznacza to, że szukasz kompetentnego, profesjonalnego i doświadczonego audytora. Trafiłeś we właściwe miejsce! Ale zanim zaczniesz konsultacje w sprawie certyfikacji i podpiszesz umowę z audytorem, musisz samodzielnie zrozumieć jedną istotną kwestię. Odpowiedź na to pytanie pomoże zaoszczędzić czas, pieniądze i siły.
Pytanie jest proste: co planujesz certyfikować zgodnie ze standardem PCI DSS?
Najprostsze rozwiązanie to certyfikacja całej firmy. Jednak taki podejście sprawi, że certyfikacja będzie trwała długo i będzie kosztowna.
Dlaczego? Ponieważ zakłada się, że cała firma, cały personel i wszystkie systemy informatyczne będą spełniać wymagania PCI DSS.
My, jako eksperci zajmujący się profesjonalnie certyfikacją PCI DSS, zalecamy zrobienie następującego: należy wydzielić tę część firmy, w której przetwarzane są dane kart płatniczych, i przygotować do certyfikacji zgodnie ze standardem PCI DSS tylko tę część biznesu.
Dla takich działań istnieje termin - zakres PCI DSS, angielski - PCI DSS scope.
Rozważmy, jak określić zakres i tym samym wykluczyć z niego te systemy informatyczne i procesy, które nie należą do kart płatniczych. Należy to zrobić, aby oszczędzić czas i budżet.
Standard PCI DSS określa zakres następująco: wszyscy ludzie, procesy i technologie, które uczestniczą w przetwarzaniu, przesyłaniu lub przechowywaniu danych kart płatniczych. To środowisko musi spełniać wymagania standardu.
Rozważmy infrastrukturę informatyczną. Do zakresu należą wszystkie serwery przetwarzające dane kartowe, nawet komponenty sieciowe z nią związane lub wpływające na jej bezpieczeństwo. Aby zminimalizować zakres PCI DSS, zalecamy określenie, które systemy informatyczne uczestniczą w przetwarzaniu danych kartowych. Następnie przenieść je do osobnego segmentu sieciowego i zainstalować między tym segmentem a resztą sieci korporacyjnej zapórę ogniową. Ta zapora blokuje wszelkie próby dostępu z sieci wspólnej do tego wydzielonego segmentu.
W ten sposób stworzysz tzw. środowisko przetwarzania danych CDE - Cardholder Data Environment.Do obszaru objętego standardem PCI DSS, oprócz CDE, powinny także wchodzić zapora ogniowa, która izoluje wydzielony segment, sprzęt sieciowy zapewniający komunikację między serwerami, a także serwery znajdujące się poza CDE, które świadczą usługi sieciowe w zakresie przetwarzania danych kart płatniczych.
Zazwyczaj do zakresu włączane są także serwery świadczące usługi DNS, NTP, Microsoft Active Directory.
W ten sposób będziesz w stanie określić dla swojej firmy zakres objęty standardem PCI DSS.
Następnym odpowiednim krokiem jest stworzenie dokumentu opisującego ten zakres. Należy wymienić wszystkie serwery, komponenty sieciowe, CDE, oraz przedstawić obszar odpowiedzialności pracowników. Ten dokument powinien zostać dostarczony audytorowi jeszcze przed rozpoczęciem procesu certyfikacji.
Posiadanie wyraźnie określonego zakresu, udokumentowanego, pozwoli uzyskać adekwatną i nie zawyżoną cenę za certyfikację. Sam proces certyfikacji zgodnie ze standardem PCI DSS przebiegnie z minimalnymi nakładami zasobów.
Jeśli masz pytania lub napotykasz trudności, albo masz wątpliwości co do poprawności swoich działań związanych z określeniem i opisem zakresu, zdecydowanie lepiej powierzyć tak ważną sprawę, jak przygotowanie do certyfikacji, profesjonalistom.
Skontaktuj się z jednym z naszych ekspertów ds. PCI DSS za pomocą formularza znajdującego się na dole strony.
Pomożemy zoptymalizować proces określania zakresu PCI DSS i przeprowadzimy certyfikację zgodnie ze standardem w najkrótszym możliwym czasie.