Соответствие PCI DSS

В отношении организаций, осуществляющих хранение, обработку и передачу сведений с карт American Express, MasterCard, Visa, JCB, Discover и других платежных систем международного уровня должны выполняться требования, зафиксированные в стандарте PCI DSS. Платежными системами устанавливаются, в какой форме и с какой периодичностью подтверждается соответствие стандартным требованиям, а также какая ответственность наступает в случае нарушения данных требований. С целью  обеспечения выполнения организациями требований действующих стандартов в нашей Компании предлагаются различные варианты сотрудничества в сфере обеспечения соответствия PCI DSS с учетом особенностей клиента и поставленных задач:

PCI DSS Compliance

  • В рамках предоставления этой услуги информационная безопасность приводится в соответствие с зафиксированными в стандарте PCI DSS требованиями с нуля:
  1. Проведение предварительного аудита, который сопровождается планированием мероприятий по приведению ИБ в соответствие
  2. Непосредственное применение запланированных мер
  3. Заключительный сертификационный аудит

Сертификационный аудит PCI DSS

  • Проводится в компаниях, которые обеспечили защиту в соответствии со стандартными требованиями собственными силами и испытывают необходимость в независимой заключительной оценке на предмет соответствия.
  • Обеспечение поддержки системы в состоянии, соответствующем требованиям стандарта PCI DSS. В рамках предоставления этой услуги оказывается помощь тем компаниям, у которых уже есть действующий сертификат соответствия и компания заинтересована в получении повторного подтверждения на регулярной основе
  • Проведение сертификации программного обеспечения в соответствии с требованиями, предусмотренными стандартом PA-DSS. Совет по безопасности индустрии платежных карт (PCI SSC) в 2008 году утвердил Стандарт безопасности платежных приложений (PA-DSS — Payment Application Data Security Standard), цель которого – поддержать выполнение предусмотренных PCI DSS требований. Платежные системы MasterCard и VISA требуют от приложений, которые осуществляют обработку операций по авторизации или расчетам по картам, прохождения сертификации по PA-DSS.
Сохранение приложений в состоянии, соответствующем требованиям PA-DSS. Все изменения, которые вносятся в платежное программное обеспечение, которое прошло сертификацию, должны анализироваться и в определенных случаях приводят к тому, что приложения сертифицируются повторно. Масштабы такой сертификации и документы, которые оформляются по ее результатам, зависят от того, какие именно изменения произошли. Формирование подхода к проведению повторных сертификаций основано на высказанных разработчиком предпочтениях и практике релиза обновлений разработчиками программного обеспечения:
  1. Сканирование WEB приложений, PCI ASV.
  2. Проведение комплексного тестирования на проникновение по PCI DSS. В рамках такой услуги оценивается, возможен ли несанкционированный доступ к данным карт или сетям, в которых обрабатываются такие данные (по п.11.3 PCI DSS).
  3. Оказание помощи в оформлении листа самооценки по PCI DSS. Эта услуга востребована у сервис-провайдеров и мерчантов, у которых немного транзакций. Наша компания помогает оценить соответствие с оформлением листа самооценки.
  4. Разработка по заказу банков-эквайеров программ для определения того, соответствуют ли мерчанты требованиям стандарта PCI DSS. Международные платежные системы установили, что эквайеры отвечают за то, выполнены ли их мерчантами упомянутые требования. Предоставление такой услуги включает в себя разработку программы, при помощи которой осуществляется контроль соответствующих показателей на базе программ обеспечения безопасности, действующих в международных платежных системах (Site Data Protection и Account Information Security).
Организация вышеупомянутых работ дает возможность обеспечивать соответствие требованиям, которые предъявляются стандартом, минимизировать риск того, что данные карт будут скомпрометированы, и избежать применения платежными системами санкций.
Имеются вопросы?
Вопросы?
Задайте их нашим специалистам
Аттестация объектов информатизации
Аттестация автоматизированной системы (АС)
Аттестация защищаемого помещения (ЗП)
Аттестация информационных систем персональных данных (ИСПДн)
Аттестация объектов критической информационной инфраструктуры (КИИ)
Аттестация государственных информационных систем (ГИС)
Периодический контроль
Консалтинг по лицензированию
Консалтинг ФСТЭК разработка и производство СЗКИ
Консалтинг ФСТЭК ТЗКИ
Консалтинг ФСБ
Контрольно-измерительное оборудование (КИО)
Аудит ИБ
Соответствие ПДн
Соответствие ГИС
Соответствие КИИ
Соответствие GDPR
Соответствие PCI DSS
Соответствие НПС
Соответствие ГОСТ-Р 57580.1
Тестирование на проникновение
Аутсорсинг
Техническая поддержка
Сопровождение аттестованных объектов
Проектирование и внедрение
Системы информационной безопасности
Заказная разработка ПО
Заказная разработка ПО
Reverse Engineering
Продукты
s-terra
CyberArk
Huawei
FortiNet
R-Vision
Gemalto
Indeed ID
UserGate
intel
APC
epson
IBM
Xerox
VMware
Veeam
Эшелон
TmaxSoft
DrWeb
Powercom
Blue coat
Secret Net (Код безопасности)
Аладдин Р.Д.
КРИПТО-ПРО
DELL
Positive Technologies
Solar Security
Lexmark
ZEBRA
Microsoft
МФИ Софт
Motorola
Kraftway
citrix
InfoTeCS
IP Matika
HP
Extreme Networks
D-Link
Check Point
Касперский
Autodesk
АЛТЭКС-СОФТ
Aruba
Dell
Acronis
cisco
Avaya
eset
aquarius
Infowatch