23.03.2018
В этой статье руководитель проекта GetPCI Дмитрий Петращук ответит на 15 вопросов на тему сертификации по стандарту PCI DSS.
Благодаря его ответам можно получить более подробную информацию о том, на что стоит обратить внимание всем представителям бизнеса перед прохождением сертификации по стандарту.
Вопрос №1: Что такое проект GetPCI, для каких целей он создан?
Мы запустили проект GetPCI в начале 2017 года. Мы понимали, что в Украине практически отсутствуют вебсайты, которые бы простым, доступным языком рассказывали представителям малого и среднего бизнесе о стандарте PCI DSS и о необходимости защиты данных платёжных карт.
Рынок консалтинга по сертификации PCI DSS уже сложился, но он всегда был сконцентрирован на крупных бизнесах - больших банках, процессинговых центрах и платёжных шлюзах. А представителям небольшого бизнеса - торговым компаниям, туристическим фирмам, гостиницам, магазинам и разработчикам онлайн-порталов часто просто негде получить информацию о безопасности в области платёжных карт и процедуре прохождения сертификации по стандарту PCI DSS.
Наш проект GetPCI предоставляет полную информацию для абсолютно любого бизнеса.
И очень важно, чтобы руководители и представители бизнеса перед тем, как заказывать услуги по прохождению сертификации по стандарту PCI DSS для своих компаний, владели этой информацией. Ведь зачастую встречаются случаи, когда компании, не владея необходимой информацией о стандарте PCI DSS, тратят немалые деньги нецелесообразно.
Вопрос №2: Что такое стандарт PCI DSS?
Платёжные системы VISA и MasterCard разработали ряд требований. Эти требования необходимо выполнять всем, кто принимает платёжные карты либо участвует в обработке данных. PCI DSS – это стандарт безопасности, поэтому очень важно, чтобы компании соответствовали этому стандарту.
Вопрос №3:Какие услуги вы предоставляете своим клиентам?
Нашим клиентам повезло, так как они могут получить самый широкий спектр услуг. Все услуги направлены на то, чтобы помочь повысить безопасность и защищённость компании.
Кроме аудита и сертификации по стандарту PCI DSS, мы проводим оценку защищённости сети и приложений компании, выявляем и анализируем уязвимости. Так же очень важная услуга — это расследование инцидентов, таких как взломы, заражение вирусами или кража данных.
Наша компания предлагает своим клиентам разработку внутренней политики и консультирование по всем вопросам кибербезопасности.
В области кибербезопасности мы можем предоставить клиентам абсолютно любую услугу, но только в рамках действующего законодательства.
Вопрос №4:Кто ваши клиенты?
Наши клиенты – это все те компании, которые стремятся развивать свой бизнес, ищут новые возможности и готовы делать это так же, как делает весь современный мир бизнеса.
Это компании, для которых кибербезопасность является не ограничением, а стимулом к развитию или путем к новым возможностям.
Вопрос №5:Что клиенты получают в итоге?
Благодаря сотрудничеству с нами, наши клиенты получают уверенность в том, что данные компании и данные их клиентов защищены. Они могут быть спокойны потому, что они прошли сертификацию PCI DSS, и теперь бизнес защищён и не может возникнуть проблем с регуляторами: VISA, MasterCard, IATA и т.д.
Вопрос №6:Какие дополнительные выгоды получит клиент, который решит пройти сертификацию по стандарту PCI DSS?
Выгоды очевидны - общее повышение устойчивости бизнеса компании к кибератакам и к другим нарушениям безопасности.
Примером может послужить случай, произошедший с нашим клиентом (это банк, название которого мы не будем афишировать). В июне 2017 года в Украине произошла масштабная хакерская атака, в результате которой пострадали тысячи компаний, включая нашего клиента. Но та часть сети банка, в которой обрабатываются карточные данные, от действия вируса не пострадала. Эта часть ранее прошла сертификацию по стандарту PCI DSS. Бизнес не останавливался ни на минуту.
Это говорит о том, что выгод много. А особенно они ощутимы тогда, когда компании держат удар хакерских атак. 
Вопрос №7:Кто ваша команда, что это за люди?
Мы собрали команду истинных профессионалов, каждый из которых имеет за плечами от 5 до 20 лет опыта в различных отраслях: торговля, финансы, производство, государственные структуры. 
У каждого из них есть сертификат, подтверждающий высокую квалификацию в той или иной области. Некоторые аудиторы имеют не только сертификаты, связанные со стандартом PCI DSS, а также 5-6 сертификатов, подтверждающих высокую квалификацию в других областях информационной безопасности.
Вопрос №8:Почему вы занимаетесь этим проектом?
Я занимаюсь консультированием различных компаний по вопросам кибербезопасности с 2003 года.
Когда в 2007 году появился стандарт PCI DSS, я взял его на вооружение, как наиболее практичный и лаконичный набор требований.
Мне доставляет огромное удовольствие то, как на моих глазах повышается киберзащищённость украинских компаний, и я вижу, что я делаю определенный вклад в развитие своей страны.
Вопрос №9:Какие цели у вашей команды, на какой уровень вы хотите выйти в этом бизнесе?
Наша цель - стать источником информации, рассказывающем о стандарте PCI DSS, номер один в Украине. В наших планах не только запуск портала getpci.com, но ещё и проведение тренингов, семинаров, вебинаров, публикация статей, создание информационных брошюр и, конечно, запуск канала на YouTube.
Мы планируем создать много проектов и занять лидирующую позицию на рынке в этой нише.
Вопрос №10:От чего вы бы предостерегли будущих своих клиентов?
Компаниям, которые задумываются о кибербезопасности или планируют получить сертификат PCI DSS, следует очень внимательно подходить к выбору поставщика услуг в этой области. Необходимо предварительно изучить всю информацию, а не гнаться за дешёвым предложением, так как можно не получить ожидаемый результат или потратить деньги впустую.
Очень важно, чтобы представители бизнеса понимали то, что сертификат PCI DSS - это не формальная справка, а реальное свидетельство того, что компания действительно заботится о своей безопасности.
Вопрос №11:Каждая компания заботится о сбережении своего бюджета, можно ли с ограниченным бюджетом построить систему кибербезопасности?
Можно с любым бюджетом построить систему кибербезопасности. Все зависит от того, сколько ресурсов и времени компания готова выделить, какую часть структуры готова передать под контроль внешним консультантам. 
Успешные бизнесмены понимают, что для того, чтобы оставаться успешными им нужно сконцентрироваться на своих основных бизнес-процессах. А все вопросы по обеспечению безопасности и прохождение сертификации по стандарту PCI DSS можно предоставить профессионалам.
Вопрос №12: Могут ли ваши клиенты рассчитывать на скидки?
Наша компания предлагает систему скидок для клиентов, которые сертифицируются по стандарту PCI DSS повторно или подписывают с нами длительные контракты.
Также у нас проходят специальные акции, приуроченные к нашим информационным мероприятиям: семинарам, вебинарам и т.д. На подобных мероприятиях мы предлагаем клиентам интересные цены. 
Вопрос №13:Что вы делаете, если понимаете, что не успеваете выполнить свою работу точно в срок?
Построение системы кибербезопасности и сертификация по стандарту PCI DSS - это процесс, в котором участвуют обе стороны - и консультант, и заказчик. По этой причине мы разработали гибкие сроки прохождения сертификации. Это сделано для того, чтобы дать возможность нашим заказчикам оптимальным образом распределить свои ресурсы и время.
Если и происходят задержки, то это по причине того, что заказчик долго устраняет всё то, что не соответствует требованиям стандарта. Мы свои обязательства выполняем вовремя и делаем все возможное, чтобы заказчику было удобно и комфортно сотрудничать с нашей компанией.
Вопрос №14:К вам обратился бизнесмен, который хочет купить небольшую сеть магазинов по продаже обуви. Что вы можете посоветовать, на что стоит обратить внимание?
Прежде всего, ему обязательно нужно создавать интернет-магазин. Стоит обратить внимание, чтобы в магазине и на сайте были реализованы удобные способы оплаты, чтобы клиенты могли легко заплатить карточкой с помощью систем VISA payWave и MasterСard paypass.
Если этот бизнесмен планирует продавать обувь людям до сорока лет, ему необходимо создать мобильное приложение.
А самое важное - необходимо найти профессионалов, которые помогут проанализировать все угрозы и риски, и построить систему киберзащиты. Очень важно пройти сертификацию PCI DSS, что гарантирует безопасность бизнеса.
Вопрос №15:Какой совет вы можете дать будущим клиентам?
Всегда нужно понимать, что кибербезопасность со временем становится дороже. Если компьютерную систему вашей компании взломают хакеры, это вам будет стоить намного дороже, чем создать свою систему безопасности и пройти сертификацию по стандарту PCI DSS.
Руководитель проекта GetPCI Дмитрий Петращук.