В отношении организаций, осуществляющих хранение, обработку и передачу сведений с карт American Express, MasterCard, Visa, JCB, Discover и других платежных систем международного уровня должны выполняться требования, зафиксированные в стандарте
PCI DSS. Платежными системами устанавливаются, в какой форме и с какой периодичностью подтверждается соответствие стандартным требованиям, а также какая ответственность наступает в случае нарушения данных требований.
С целью обеспечения выполнения организациями требований действующих стандартов в нашей Компании предлагаются различные варианты сотрудничества в сфере обеспечения соответствия PCI DSS с учетом особенностей клиента и поставленных задач:
PCI DSS Compliance
- В рамках предоставления этой услуги информационная безопасность приводится в соответствие с зафиксированными в стандарте PCI DSS требованиями с нуля:
- Проведение предварительного аудита, который сопровождается планированием мероприятий по приведению ИБ в соответствие
- Непосредственное применение запланированных мер
- Заключительный сертификационный аудит
Сертификационный аудит PCI DSS
- Проводится в компаниях, которые обеспечили защиту в соответствии со стандартными требованиями собственными силами и испытывают необходимость в независимой заключительной оценке на предмет соответствия.
- Обеспечение поддержки системы в состоянии, соответствующем требованиям стандарта PCI DSS. В рамках предоставления этой услуги оказывается помощь тем компаниям, у которых уже есть действующий сертификат соответствия и компания заинтересована в получении повторного подтверждения на регулярной основе
- Проведение сертификации программного обеспечения в соответствии с требованиями, предусмотренными стандартом PA-DSS. Совет по безопасности индустрии платежных карт (PCI SSC) в 2008 году утвердил Стандарт безопасности платежных приложений (PA-DSS — Payment Application Data Security Standard), цель которого – поддержать выполнение предусмотренных PCI DSS требований. Платежные системы MasterCard и VISA требуют от приложений, которые осуществляют обработку операций по авторизации или расчетам по картам, прохождения сертификации по PA-DSS.
Сохранение приложений в состоянии, соответствующем требованиям PA-DSS. Все изменения, которые вносятся в платежное программное обеспечение, которое прошло сертификацию, должны анализироваться и в определенных случаях приводят к тому, что приложения сертифицируются повторно. Масштабы такой сертификации и документы, которые оформляются по ее результатам, зависят от того, какие именно изменения произошли.
Формирование подхода к проведению повторных сертификаций основано на высказанных разработчиком предпочтениях и практике релиза обновлений разработчиками программного обеспечения:
- Сканирование WEB приложений, PCI ASV.
- Проведение комплексного тестирования на проникновение по PCI DSS. В рамках такой услуги оценивается, возможен ли несанкционированный доступ к данным карт или сетям, в которых обрабатываются такие данные (по п.11.3 PCI DSS).
- Оказание помощи в оформлении листа самооценки по PCI DSS. Эта услуга востребована у сервис-провайдеров и мерчантов, у которых немного транзакций. Наша компания помогает оценить соответствие с оформлением листа самооценки.
- Разработка по заказу банков-эквайеров программ для определения того, соответствуют ли мерчанты требованиям стандарта PCI DSS. Международные платежные системы установили, что эквайеры отвечают за то, выполнены ли их мерчантами упомянутые требования. Предоставление такой услуги включает в себя разработку программы, при помощи которой осуществляется контроль соответствующих показателей на базе программ обеспечения безопасности, действующих в международных платежных системах (Site Data Protection и Account Information Security).
Организация вышеупомянутых работ дает возможность обеспечивать соответствие требованиям, которые предъявляются стандартом, минимизировать риск того, что данные карт будут скомпрометированы, и избежать применения платежными системами санкций.