Сертификация по PCI DSS

Стандарт PCI DSS (Payment Card Industry Data Security Standard) предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими.

Стандарт разработан сообществом PCI Security Standards Council, в которое входят мировые лидеры на рынке платежных карт, такие как American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International.

Стандарт PCI DSS

Стандарт PCI DSS предусматривает комплексный подход к обеспечению информационной безопасности. PCI DSS объединяет программы платежных систем VISA Account Information Security (AIS), Visa Cardholder Information Security Program (CISP) и программу MasterCard Site Data Protection (SDP). Решение о создании стандарта было вызвано резким увеличением числа инцидентов, связанных с утечкой данных о держателях платежных карт.

Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, e-commerce и т.п.). Причем требования относятся только к тем информационным системам компании, в которых обрабатывается или хранится информация о платежных картах, а также к системам, которые с ними взаимосвязаны.

Положения стандарта описывают такие аспекты, как:

  • Разработка и совершенствование безопасной сетевой инфраструктуры.
  • Защита данных о держателях платежных карт.
  • Контроль процесса обновления системных компонентов и антивирусного ПО на серверах и рабочих станциях.
  • Контроль и разграничение доступа к информационным ресурсам.
  • Мониторинг событий.
  • Политика информационной безопасности.

PCI DSS в России и странах СНГ

В России соответствие стандарту PCI DSS стало обязательно с 2007 года. Поэтому компании, которые обрабатывают и хранят данные о держателях платежных карт и работают с международными платежными системами, обязаны ежегодно проходить сертификацию на соответствие требованиям стандарта PCI DSS.

С 2008 года требование соответствия стандарту ужесточается, и к компаниям, в которых выполняется большое количество транзакций, не прошедшим процедуру сертификации, начнут применяться штрафные санкции.

Как пройти сертификацию по PCI DSS

Для получения сертификата соответствия PCI DSS компания должна подготовить информационную систему, которая обрабатывает и хранит данные о держателях платежных карт, к соответствию требованиям стандарта и пройти сертификационный аудит. Прохождение сертификации целесообразно разбить на два этапа.

На первом этапе проводится предварительный аудит, в рамках которого выявляются уязвимости информационной системы компании, вырабатываются рекомендации по повышению текущего уровня защищенности информационной системы. Дополнительно должен быть проведен тест на проникновение, обязательный в соответствии с требованиями стандарта PCI DSS.

На втором этапе, после выявления всех несоответствий и их устранения согласно предоставленным рекомендациям, проводится итоговый сертификационный аудит, который могут проводить только сертифицированные PCI Security Standards Council компании, имеющие статус QSA (Qualified Security Assessor). После проведения сертификационного аудита, QSA аудиторы предоставляют отчеты в соответствующий сертифицирующий орган, который принимает решение о выдаче сертификата.

Стандарт PCI DSS предписывает ежегодное проведения теста на проникновение, причем под тестом на проникновение понимается проведение атак на сетевом уровне и уровне приложений на все публично доступные сервисы компании, а также т. н. “war-dialing” для проверки наличия возможности проникновения в корпоративную сеть компании по коммутируемым каналам связи. Тест на проникновение не ограничивается сканированием различными сканерами безопасности – это отдельно подчеркивается специалистами PCI SSC.

Cертификационный аудит на соответствие PCI DSS

В июне 2008 года Digital Security получила статус QSA, позволяющий оказывать услуги по проведению сертификации на соответствие стандарту PCI DSS на всей территории России и стран СНГ.

В процессе работы применяется методика «Анализ выполнения мер и требований стандарта PCI DSS согласно процедуре аудита PCI DSS Security Audit Procedure».

Методика включает в себя анализ предоставленной информации и проверку выполнения на практике требований стандарта PCI DSS, осуществляемую при помощи инструментальных средств аудита и интервьюирования должностных лиц. 

На первом этапе производится:

  • Анализ, систематизация и уточнение полученных от Заказчика исходных данных о компонентах информационной системы, в которых хранится или обрабатывается критичная информация о платежных картах.
  • Анализ нормативно-распорядительной документации по информационной безопасности (политик, регламентов и инструкций), необходимой в соответствии с требованиями стандарта PCI DSS.
  • Анализ топологии сети, состава и характеристик аппаратных и программных средств передачи информации.
  • Анализ характера внутренних и внешних связей информационной системы, информационных потоков и принципов обработки критичной информации о платежных картах в информационной системе.
  • Определение и утверждение области применения стандарта (области сертификации) на основании результатов работы по предыдущим пунктам.

На втором этапе производится:

  • Сертификационный аудит информационной системы Заказчика.
  • Подготовка отчета о результатах сертификационного аудита.

В отчете по результатам работ приводится оценка соответствия текущего уровня защищенности информационной системы Заказчика международному стандарту PCI DSS.

Если информационная система компании соответствует стандарту PCI DSS по результатам сертификационного аудита, Заказчик получает сертификат соответствия после одобрения PCI SSC (PCI Security Standard Council).

Все интересующие вас вопросы о стандарте PCI DSS – на сайте PCIDSS.RU.

Примеры выполненных работ:

Статьи по теме:

Презентации с конференций и вебинаров:

Оставить заявку

Оставить заявку