Спасибо!
Мы свяжемся с вами в скором времени!
Повний комплекс послуг для сертифікації за стандартом PCI DSS
Полный комплекс услуг для сертификации по стандарту PCI DSS
Внимание! Русскоязычная версия сайта предназначена для партнёров из Казахстана, Узбекистана, Грузии, Азербайджана и Кыргызстана.В соответствии с законодательством Украины мы не сотрудничаем с компаниями, в составе которых бенефициары — граждане рф или республики беларусь, владеющие более 10% уставного капитала, а также с компаниями, зарегистрированными в рф или республике беларусь.
17.04.2019
PCI DSS – это стандарт, который содержит 12 разделов требований. Стандарт разработан таким образом, чтобы затронуть все аспекты информационной безопасности в любой компании.
PCI DSS – это набор лучших практических рекомендаций, существующих на данный момент времени, а выполнение этих рекомендаций поможет защитить компанию от всевозможных атак хакеров и других преступников, промышляющих в киберпространстве.
Общее количество рекомендаций или требований, изложенных в стандарте, составляет 250 пунктов. Сразу выполнить все эти требования - это цель, которую довольно сложно достигнуть. Требования весьма разнообразны и затрагивают самые разные сферы компании:• внутренние бизнес-процессы;• политики и процедуры;• обучение и работа персонала;• различные ИТ-системы.
В процесс подготовки и прохождения сертификации PCI DSS зачастую вовлекаются сразу несколько подразделений компании. В такой процесс включаются не только подразделения информационных технологий и службы защиты информации, но и отдел кадров, отдел внутренней физической безопасности, топ-менеджмент и другие бизнес-подразделения, которые взаимодействуют с клиентами и держателями платёжных карт.
Стандарт PCI DSS хорошо продуман и требует различных трансформаций внутри компании, поэтому очень редко процесс сертификации проходит быстро и гладко.
Понимая то, с какими трудностями столкнутся компании, cовет PCI DSS предложил поэтапный подход к внедрению требований стандарта. Он подразумевает разбитие всего набора требований на 6 ключевых этапов, которые необходимо пройти. Эти этапы лучше всего проходить последовательно. Они выстроены таким образом, что позволяют сконцентрироваться на самых критичных, с точки зрения безопасности, задачах.
Сами требования, относящиеся к этим 6 этапам, в стандарте PCI DSS не следуют друг за другом, они разбросаны среди всех остальных требований.
Перечислим эти 6 этапов:1) Удалить все критичные аутентификационные данные карт. Если данные карт необходимы для бизнеса, необходимо хранить эти данные как можно меньший период. Этот этап позволяет сконцентрироваться на защите от взлома ИТ-системы и избежать утечки карточных данных. Золотое правило данного этапа - если данные вам не нужны, не храните их.2) Необходимо обеспечить защиту информационных сетей и систем, а также подготовиться к отражению атак хакеров. Внедрение мер безопасности, входящих в этот этап, позволит обеспечить минимальный уровень защиты для вашей компании.3) Защитить приложения, в которых обрабатываются карточные данные. Следует особое внимание уделить защите платёжных приложений. Сюда входят и веб-портал, и мобильные приложения, и программное обеспечение на рабочих местах менеджеров и операторов.4) Обеспечить постоянный мониторинг доступа к системам. Это позволит своевременно выявить нарушения, как со стороны внешних хакеров, так и собственных сотрудников.5) Надёжно защитить карточные данные, которые хранятся в компании. Выполнение этого этапа предполагает внедрение систем шифрования и управления криптографическими ключами. Ключи, используемые для формирования шифров очень важно корректно формировать, хранить, распределять, уничтожать и контролировать к ним доступ. 6) Этот этап направлен на контроль соответствия стандарту PCI DSS и внедрению в компании процессов, которые позволят предотвратить нарушения и невыполнения требований в дальнейшем. Сначала идёт внедрение требований, а потом постоянное следование им и выполнение этих требований.
Следование по этапам и есть приоритезированный или приоритетный подход в сертификации по стандарту PCI DSS.
Последовательное выполнение и внедрение всего изложенного в этих 6-ти этапах даёт сразу несколько преимуществ:• Готовый план действий по внедрению требований PCI DSS в компанию;• Имея план, проще планировать бюджет и другие необходимые ресурсы;• Использование приоритезированного подхода даёт возможность измерять прогресс всех трансформаций, необходимых для сертификации по стандарту PCI DSS.
Для прохождения всех этих 6 этапов cовет PCI DSS сформировал необходимый шаблон отчёта. Он прост в заполнении, понятен всем аудиторам и может использоваться для демонстрации степени выполнения стандарта PCI DSS.
В нашей практике были случаи, когда компания VISA запрашивала заполненный отчёт по приоритезированному подходу. Это служило своего рода доказательством того, что компания выполняет необходимые требования и делает все шаги для получения сертификата.
Такой подход к сертификации по стандарту PCI DSS является самым эффективным. Поэтому наши специалисты всегда придерживаются его в выполняемых проектах.
Все наши клиенты после проведения предварительного аудита получают соответствующий отчёт и дорожную карту по приоритезированному подходу.
Вашему бизнесу необходимо пройти сертификацию по стандарту PCI DSS? Связывайтесь с нашими консультантами для быстрой и качественной сертификации по стандарту PCI DSS.
Заполни форму обратной связи, и наши специалисты предоставят консультацию в ближайшее время.