Основні етапи сертифікації

Етап 1. Попередній аудит

Проведення попереднього аудиту (обстеження) націлене на оцінку поточного рівня відповідності інформаційних систем (ІС), процесів і нормативної документації клієнта вимогам стандарту PCI DSS, за результатами якого розробляються рекомендації з підготовки інформаційних систем, процесів і нормативної документації клієнта до успішної сертифікації на відповідність вимогам стандарту PCI DSS. Після проведення попереднього аудиту проводиться консультаційна підтримка для усунення невідповідностей, виявлених на даному етапі. 

Етап 2. Підготовка до сертифікаційного аудиту

Підготовка до сертифікаційного аудиту включає у себе наступні етапи:1) Проведення зовнішнього сканування вразливостей мережі (ASV)  2) Проведення внутрішнього сканування вразливостей мережі3) Оцінка захищеності мережі компанії клієнта шляхом виконання зовнішнього і внутрішнього тестування на проникнення4) Пошук неавторизованих Wi-Fi точок доступу5) Тестування на проникнення засобів контролю сегментації мережі
Зовнішнє сканування вразливостей мережі (ASV)Відповідно до вимог 11.2.2 стандарту PCI DSS необхідно проводити щоквартальне зовнішнє сканування з пошуку вразливостей мережі. Метою проведення ASV сканувань є виявлення помилок в архітектурі та конфігураціях систем, які можуть бути використані для отримання доступу до систем, серверів чи внутрішньої мережі клієнта. Окрім формальної відповідності стандарту PCI DSS, зовнішнє сканування вразливостей мережі дозволяє оцінити захищеність зовнішнього периметра мережі клієнта. 
Внутрішнє сканування вразливостей мережіВідповідно до вимог 11.2.1 стандарту PCI DSS вимагається проводити щоквартальне внутрішнє сканування з пошуку вразливостей у внутрішній мережі клієнта. Метою проведення внутрішнього сканування з пошуку вразливостей є виявлення помилок в архітектурі та конфігурації систем, які можуть бути використані для отримання доступу до систем, серверів, які зберігають, обробляють чи передають дані платіжних карток. Окрім формальної відповідності стандарту PCI DSS, внутрішнє сканування з пошуку вразливостей дозволяє оцінити захищеність систем усередині компанії клієнта. 
Тестування на проникненняВідповідно до вимог 11.3.1 та 11.3.2 стандарту PCI DSS вимагається як мінімум раз на рік проводити зовнішній і внутрішній тест на проникнення. Тестування систем і мереж на проникнення є одним із методів оцінки захищеності за допомогою симуляції дій зловмисника. 
Під час тестування виконується виявлення і перевірка вразливостей у системах, які могли виникнути через програмні і технічні помилки, неправильне налаштування, операційні недоліки тощо. Також тестування дозволяє наочно продемонструвати керівництву клієнта актуальність виявлених уразливостей і значущість потенційних збитків.
Проведення тестування включає у себе активну перевірку вразливостей ІТ-систем, яка виконується лише після узгодження часу проведення та об’єму подібних дій з клієнтом. Часто причиною існування вразливостей у додатках стають помилки в прикладному та системному програмному забезпеченні. Такі помилки можливо виявити за допомогою тестування працюючого програмного забезпечення та використання спеціалізованих інструментів (сканерів уразливостей).
Пошук неавторизованих Wi-Fi точок доступуВідповідно до вимог 11.1 стандарту PCI DSS необхідно впровадити процес щоквартальної перевірки на наявність бездротових точок доступу в приміщеннях, де зберігаються, обробляються чи передаються дані платіжних карток, а також виявлення та ідентифікацію несанкціонованих бездротових точок доступу. 
Після завершення сканування приміщень виконується аналіз зібраної інформації і формується звіт для клієнта. Даний звіт має інформацію про виявлені бездротові точки доступу з певним рівнем ризику. 
Тестування на проникнення засобів контролю сегментаціїВідповідно до вимоги 11.3.4.1 стандарту PCI DSS вимагається як мінімум два рази на рік проводити зовнішній і внутрішній тест на проникнення засобів контролю сегментації мережі для сервіс-провайдерів. Оцінка сегментації мережі – метод аналізу налаштувань мережевих пристроїв для перевірки сегментації, її ефективності та ізоляції усіх мереж, не пов’язаних з обробкою даних платіжних карток, від середовища обробки даних платіжних карток. 
Оцінка сегментації проводиться як поза межами компанії клієнта, так і зсередини мережі для підтвердження того, що мережа середовища обробки даних платіжних карт недоступна з інших мереж. 
Результати оцінки сегментації мережі надають інформацію, чи правильно проведена сегментація в компанії клієнта для зменшення меж аудиту PCI DSS, відповідно до вимоги 11.3.4 PCI DSS.

Етап 3. Сертифікаційний аудит PCI DSS відповідності

У рамках аудиту проводяться наступні роботи:
1) Збір і аналіз організаційно-нормативної документації, інформації про системні компоненти Cardholder Data Environment (CDE) клієнта2) Аналіз процесів, пов’язаних із захистом та супроводом системних компонент у CDE 3) Аудит відповідності системних компонент CDE клієнта вимогам стандарту PCI DSS:     o Інтерв’ювання співробітників клієнта (третьої сторони, у разі необхідності) відповідно до процедури аудиту, розробленої консорціумом PCI SSC й адаптованої QSA-консультантом     o Аналіз налаштувань і конфігурацій системних компонент CDE клієнта     o Формування доказової бази відповідності системних компонент CDE клієнта вимогам стандарту PCI DSS4) Аналіз звітів про оцінку захищеності зовнішнього та внутрішнього периметра мережі CDE клієнта5) Розробка звітних документів для банків-еквайрів і Міжнародних платіжних систем Report on Compliance (RoC), а також Attestation of Compliance (AoC) 6) Надання сертифіката відповідності вимогам стандарту PCI DSS (у разі повної відповідності вимогам стандарту)

Made with