Внимание! Русскоязычная версия сайта предназначена для партнёров из Казахстана, Узбекистана, Грузии, Азербайджана, Киргизии. С компаниями из рф мы не сотрудничаем!

PCI DSS

Общие сведения о PCI DSS 

Payment Card Industry Data Security Standard – это совокупность требований по обеспечению безопасности данных о владельцах платежных карт, которые хранятся, передаются и обрабатываются в информационных системах организаций. Стандарт разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), основанным международными платежными системами, такими как: Visa, MasterCard, American Express, JCB і Discover.

Кому необходимо проходить аудит PCI DSS 

PCI DSS распространяется на все организации, участвующие в обработке платежных карт, включая продавцов, процессоров, эквайеров, эмитентов и поставщиков услуг. PCI DSS также применяется ко всем другим организациям, которые хранят, обрабатывают или передают данные держателя карты (CHD) и/или конфиденциальные данные проверки подлинности (SAD).

Как часто нужно подтверждать сертификацию PCI DSS 

Сертификацию PCI DSS необходимо подтверждать ежегодно.

Результаты сертификации на соответствие требованиям стандарта PCI DSS 

    Отчеты по результатам внешних ASV и внутренних сканирований сети (после каждого сканирования)
    Отчеты по результатам внутреннего и внешнего тестирования на проникновение
    Отчеты по результатам WiFi-сканирования
    Доработанный пакет нормативной документации в области информационной безопасности
    Заполненные и валидированные отчеты Report on Compliance (RoC) или Self-Assessment Questionnaire (SAQ) и Attestation of
    Compliance (AoC)
    Сертификат соответствия требованиям стандарта PCI DSS

 Этапы предоставления услуги 

  • Подготовка


    1. Проведение предварительного аудита
    2. Проведение внешнего сканирования уязвимостей сети (ASV)
    3. Проведение внутреннего сканирования уязвимостей сети
    4. Оценка защищенности сети компании клиента путем выполнения внешнего и внутреннего пентеста
    5. Поиск неавторизованных Wi-Fi точек доступа
    6. Тестирование по проникновению средств контроля сегментации сети

  • Сертификационный аудит

     1. Сбор и анализ организационно-нормативной документации, информации о системных компонентах Cardholder Data Environment (CDE) клиента
    2. Анализ процессов, связанных с защитой и сопровождением системных компонентов в CDE
    3. Аудит соответствия системных компонентов CDE клиента требованиям стандарта PCI DSS:
    ● Интервью сотрудников клиента (третьей стороны в случае необходимости) в соответствии с процедурой аудита, разработанной консорциумом PCI SSC и адаптированной QSA консультантом
    ● Анализ настроек и конфигураций системных компонентов CDE клиента
    ● Формирование доказательной базы соответствия системных компонентов CDE клиента требованиям стандарта PCI DSS
    4. Анализ отчетов об оценке защищенности внешнего и внутреннего периметра сети CDE клиента
    5. Разработка отчетных документов для банков-эквайров и международных платежных систем Report on Compliance (RoC) или Self-Assessment Questionnaire (SAQ), а также Attestation of Compliance (AoC)
    6. Отправка AOC консультантом в международную платежную систему VISA для подтверждения успешного завершения аудита PCI DSS

Made with