PCI DSS

Загальні відомості про PCI DSS 

Payment Card Industry Data Security Standard – це сукупність вимог щодо забезпечення безпеки даних про власників платіжних карт, які зберігаються, передаються та обробляються в інформаційних системах організацій. Стандарт розроблений Радою за стандартами безпеки індустрії платіжних карт (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як: Visa, MasterCard, American Express, JCB і Discover.

Кому необхідно проходити аудит PCI DSS 

PCI DSS поширюється на всі організації, які беруть участь в обробці платіжних карток, включаючи продавців, процесорів, еквайєрів, емітентів і постачальників послуг. PCI DSS також застосовується до всіх інших організацій, які зберігають, обробляють або передають дані власника картки (CHD) та/або конфіденційні дані автентифікації (SAD).

Як часто потрібно підтверджувати сертифікацію PCI DSS 

Сертифікацію PCI DSS потрібно підтверджувати щорічно.

Результати від сертифікації на відповідність вимогам стандарту PCI DSS 

    Звіти за результатами зовнішніх ASV і внутрішніх сканувань мережі (після кожного сканування)
    Звіти за результатами внутрішнього та зовнішнього тестування на проникнення
    Звіти за результатами WiFi-сканування
    Доопрацьований пакет нормативної документації в сфері інформаційної безпеки
    Заповнені та валідовані звіти Report on Compliance (RoC) або Self-Assessment Questionnaire (SAQ) і Attestation of
    Compliance (AoC)
    Сертифікат відповідності вимогам стандарту PCI DSS

 Етапи надання послуги 

  • Підготовка


    1. Проведення попереднього аудиту
    2. Проведення зовнішнього сканування вразливостей мережі (ASV)
    3. Проведення внутрішнього сканування вразливостей мережі
    4. Оцінка захищеності мережі компанії клієнта шляхом виконання зовнішнього й внутрішнього пентесту
    5. Пошук неавторизованих Wi-Fi точок доступу
    6. Тестування на проникнення засобів контролю сегментації мережі

  • Сертифікаційний аудит

     1. Збір і аналіз організаційно-нормативної документації, інформації про системні компоненти Cardholder Data Environment (CDE) клієнта
    2. Аналіз процесів, пов’язаних із захистом та супроводом системних компонент у CDE
    3. Аудит відповідності системних компонент CDE клієнта вимогам стандарту PCI DSS:
    ● Інтерв’ювання співробітників клієнта (третьої сторони в разі необхідності) відповідно до процедури аудиту, розробленої консорціумом PCI SSC й адаптованої QSA консультантом
    ● Аналіз налаштувань і конфігурацій системних компонент CDE клієнта
    ● Формування доказової бази відповідності системних компонент CDE клієнта вимогам стандарту PCI DSS
    4. Аналіз звітів про оцінку захищеності зовнішнього та внутрішнього периметра мережі CDE клієнта
    5. Розробка звітних документів для банків-еквайрів і міжнародних платіжних систем Report on Compliance (RoC) або Self-Assessment Questionnaire (SAQ), а також Attestation of Compliance (AoC)
    6. Надсилання AOC консультантом до міжнародної платіжної системи VISA для підтвердження успішного завершення аудиту PCI DSS

Made with