17.04.2019
PCI DSS – це стандарт, який містить 12 розділів вимог. Стандарт розроблений таким чином, щоб торкнутися всіх аспектів інформаційної безпеки будь-якої компанії.
PCI DSS – це набір кращих практичних рекомендацій, що існують на даний момент часу, а виконання цих рекомендацій допоможе захистити компанію від усіляких атак хакерів та інших злочинців, які займаються кіберпростором.
Загальна кількість рекомендацій чи вимог, викладених у стандарті, становить 250 пунктів. Відразу виконати всі ці вимоги – це мета, яку досить складно досягти. Вимоги дуже різноманітні і зачіпають різні сфери компанії:• внутрішні бізнес-процеси;• політики та процедури;• навчання та робота персоналу;• різні ІТ-системи.
У процес підготовки та проходження сертифікації PCI DSS часто залучаються відразу кілька підрозділів компанії. У такий процес включаються не лише підрозділи інформаційних технологій та служби захисту інформації, а й відділ кадрів, відділ внутрішньої фізичної безпеки, топ-менеджмент та інші бізнес-підрозділи, які взаємодіють із клієнтами та власниками платіжних карток.
Стандарт PCI DSS добре продуманий і потребує різних трансформацій усередині компанії, тому дуже рідко процес сертифікації проходить швидко та гладко.
Розуміючи те, з якими труднощами зіткнуться компанії, Рада PCI DSS запропонувала поетапний підхід до впровадження вимог стандарту. Він має на увазі розбиття всього набору вимог на 6 ключових етапів, які потрібно пройти. Ці етапи найкраще проходити послідовно. Вони побудовані таким чином, що дозволяють сконцентруватися на найкритичніших, з погляду безпеки, завданнях.
Самі вимоги, що стосуються цих 6 етапів, у стандарті PCI DSS не йдуть один за одним, вони розкидані серед усіх інших вимог.
Перерахуємо ці 6 етапів:1) Видалити всі критичні автентифікаційні дані картки. Якщо дані карток необхідні для бізнесу, необхідно зберігати ці дані якомога менший період. Цей етап дозволяє сконцентруватися на захисті від злому ІТ-системи та уникнути витоку карткових даних. Золоте правило цього етапу - якщо дані вам не потрібні, не зберігайте їх.2) Необхідно забезпечити захист інформаційних мереж та систем, а також підготуватися до відображення атак хакерів. Впровадження заходів безпеки, що входять до цього етапу, дозволить забезпечити мінімальний рівень захисту для вашої компанії.3) Захистити програми, у яких обробляються карткові дані. Слід особливу увагу приділити захисту платіжних програм. Сюди входять і веб-портал, і мобільні програми, і програмне забезпечення на робочих місцях менеджерів та операторів.4) Забезпечити постійний моніторинг доступу до систем. Це дозволить своєчасно виявити порушення, як із боку зовнішніх хакерів, і власних співробітників.5) Надійно захистити карткові дані, що зберігаються у компанії. Виконання цього етапу передбачає впровадження систем шифрування та управління криптографічними ключами. Ключі, що використовуються для формування шифрів дуже важливо коректно формувати, зберігати, розподіляти, знищувати та контролювати доступ до них.6) Цей етап спрямований на контроль відповідності стандарту PCI DSS та впровадженню в компанії процесів, які дозволять запобігти порушенням та невиконанням вимог надалі. Спочатку йде впровадження вимог, а потім - постійне дотримання і виконання цих вимог.
Проходження по етапах і є пріоритетним або пріоритезованим підходом у сертифікації за стандартом PCI DSS.
Послідовне виконання та впровадження всього викладеного у цих 6 етапах дає відразу кілька переваг:• Готовий план дій щодо впровадження вимог PCI DSS до компанії;• Маючи план, простіше планувати бюджет та інші необхідні ресурси;• Використання пріоритезованого підходу дозволяє вимірювати прогрес усіх трансформацій, необхідних для сертифікації за стандартом PCI DSS.
Для проходження всіх цих 6 етапів рада PCI DSS сформувала необхідний шаблон звіту. Він простий у заповненні, зрозумілий усім аудиторам і може використовуватися для демонстрації ступеня виконання стандарту PCI DSS.
У нашій практиці були випадки, коли компанія VISA запитувала заповнений звіт з пріоритезованого підходу. Це слугувало своєрідним доказом того, що компанія виконує необхідні вимоги і робить всі кроки для отримання сертифіката.
Такий підхід до сертифікації за стандартом PCI DSS є найефективнішим. Тому наші фахівці завжди дотримуються його у проектах, що виконуються.
Всі наші клієнти після проведення попереднього аудиту одержують відповідний звіт та дорожню карту за пріоритезованим підходом.
Вам необхідно пройти сертифікацію за стандартом PCI DSS? Зверніться до наших консультантів для швидкої та якісної сертифікації за стандартом PCI DSS.