Этап 1. Предварительный аудит

Проведение предварительного аудита (обследования) направлено на оценку текущего уровня соответствия информационных систем (ИС), процессов и нормативной документации клиента требованиям стандарта PCI DSS, по результатам которого разрабатываются рекомендации по подготовке информационных систем, процессов и нормативной документации клиента к успешной сертификации на соответствие требованиям стандарта PCI DSS. После проведения предварительного аудита проводится консультационная поддержка во время устранения несоответствий, выявленных на данном этапе.

Этап 2. Подготовка к сертификационному аудиту

Подготовка к сертификационному аудиту включает в себя следующие этапы:1) Проведение внешнего сканирования уязвимостей сети (ASV) 2) Проведение внутреннего сканирования уязвимостей сети3) Оценка защищённости сети компании клиента путем выполнения внешнего и внутреннего тестирования на проникновение4) Поиск неавторизованных Wi-Fi точек доступа5) Тестирование на проникновение средств контроля сегментации сети
Внешнее сканирование уязвимостей сети (ASV)Согласно требованию 11.2.2 стандарта PCI DSS требуется проводить ежеквартальное внешнее сканирование по поиску уязвимостей сети. Цель проведения ASV-сканирований заключается в выявлении ошибок в архитектуре и конфигурации систем, которые могут быть использованы для получения доступа к системам, серверам или внутренней сети клиента. Помимо формального соответствия стандарту PCI DSS, внешнее сканирование уязвимостей сети позволяет оценить защищенность внешнего периметра сети клиента.
Внутреннее сканирование уязвимостей сетиСогласно требованию 11.2.1 стандарта PCI DSS требуется проводить ежеквартальное внутреннее сканирование по поиску уязвимостей во внутренней сети клиента. Цель проведения внутреннего сканирования по поиску уязвимостей заключается в выявлении ошибок в архитектуре и конфигурации систем, которые могут быть использованы для получения доступа к системам, серверам, которые хранят, обрабатывают или передают данные платежных карт. Помимо формального соответствия стандарту PCI DSS, внутреннее сканирование по поиску уязвимостей позволяет оценить защищённость систем внутри компании клиента.
Тестирование на проникновениеСогласно требованиям 11.3.1 и 11.3.2 стандарта PCI DSS требуется как минимум раз в год проводить внешний и внутренний тест на проникновение. Тестирование систем и сетей на проникновение представляет собой один из методов оценки защищенности с помощью симуляции действий злоумышленника.
В ходе тестирования выполняется обнаружение и проверка уязвимостей в системах, которые могли возникнуть из-за программных и технических ошибок, неправильной настройки, операционных недостатков и т.д. Также тестирование позволяет наглядно продемонстрировать руководству клиента актуальность выявленных уязвимостей и значительность потенциального ущерба.
Проведение тестирования включает в себя активную проверку уязвимостей ИТ-систем, которая выполняется только после согласования времени проведения и объёма таких действий с клиентом. Часто причиной существования уязвимостей в приложениях являются ошибки в прикладном и системном программном обеспечении. Такие ошибки можно обнаружить с помощью тестирования работающего программного обеспечения и использования специализированных инструментов (сканеров уязвимостей).
Тестирование на проникновение средств контроля сегментации сетиСогласно требованию 11.3.4.1 стандарта PCI DSS требуется как минимум два раза в год проводить внешний и внутренний тест на проникновение средств контроля сегментации сети для сервис-провайдеров. Оценка сегментации сети - метод анализа настроек сетевых устройств для проверки сегментации, её эффективности и изоляции всех сетей, не связанных с обработкой данных платежных карт, от среды обработки данных платёжных карт.
Оценка сегментации проводится как извне компании клиента, так и изнутри сети, для подтверждения того, что сеть среды обработки данных платежных карт недоступна из других сетей.
Результаты оценки сегментации сети предоставляют информацию, корректно ли проведена сегментация в компании клиента для уменьшения границ аудита PCI DSS согласно требованию 11.3.4 PCI DSS.

Этап 3. Сертификационный аудит PCI DSS соответствия

В рамках аудита проводятся следующие работы:1) Сбор и анализ организационно-нормативной документации, информации о системных компонентах Cardholder Data Environment (CDE) клиента2) Анализ процессов, связанных с защитой и сопровождением системных компонент в CDE 3) Аудит соответствия системных компонент CDE клиента требованиям стандарта PCI DSS:     o Интервьюирование сотрудников клиента (третьей компании, в случае необходимости) согласно процедуре аудита, разработанной консорциумом PCI SSC и адаптированной QSA-консультантом     o Анализ настроек и конфигураций системных компонент CDE клиента     o Формирование доказательной базы соответствия системных компонент CDE клиента требованиям стандарта PCI DSS4) Анализ отчётов об оценке защищенности внешнего и внутреннего периметра сети CDE клиента5) Разработка отчётных документов для банков-эквайеров и Международных платежных систем Report on Compliance (RoC), а также Attestation of Compliance (AoC)6) Предоставление сертификата соответствия требованиям стандарта PCI DSS (в случае полного соответствия требованиям стандарта)