PCI DSS 1
сертифициране PCI DSS
В нашата работа често са изправени пред въпроси от клиентите си, че е PCI DSS, кога и защо трябва да премине това сертифициране. Ако вашият бизнес е свързан с електронната търговия (разплащателни карти онлайн, работа с електронни пари), което трябва да се знае каква е PCI DSS.
1. Какво е сертифицирането на PCI DSS?
В PCI DSS (платежни карти Стандарта за сигурност) има за цел да се гарантира сигурността на обработка, съхранение и предаване на данни за притежателя на картата в информационните системи на фирмите, работещи с международните платежни системи Visa, MasterCard и др.
PCI DSS стандарт предоставя подробни изисквания за информационна сигурност, разпределени в 12 тематични раздела:
- използването на защитни стени;
- правила за конфигуриране на оборудване;
- защита на данните, съхранявани в собствениците на разплащателни карти;
- прилагане на криптографска защита при предаване на данни;
- антивирусни средства;
- безопасно развитие и подкрепа на приложения и системи;
- управление на потребителския достъп до данните;
- управление на сметката;
- физическа охрана;
- мониторинг на защитата на данните;
- Редовни системи за тестване;
- развитие и подкрепа на политиката за информационна сигурност.
2. Какво стандарт PCI DSS е разработен?
3. За кого изискванията за PCI DSS са задължителни?
изисквания PCI DSS прилагат за организации, които се занимават информация за картодържателя. Ако магазините на организацията, обработва или предава информация в рамките на една година най-малко един от транзакция с карта и собственик на платежна карта, тя трябва да отговаря на изискванията за PCI DSS. Примери за такива организации са търговски и обслужващи предприятия (търговци на дребно и услуги за електронна търговия), както и доставчиците на услуги, свързани с обработката, съхранението и предаването на данни за карти (центрове за обработка, платежни шлюзове, кол-центрове, резервни съхранение медийни съхранение организации, участващи в персонализацията на картата и м. р.). Международни платежни системи изискват организации, които са предмет на изискванията на стандарта, се проверяват редовно, за да отговори на тези изисквания.
PCI DSS в Украйна
Като цяло, този стандарт се отнася за всички организации, които работят с електронни платежни системи, независимо от броя на сделките. Въпреки това, Украйна е по-консултативен характер, а основната инициативата идва от производителите на съответните решения. В същото време, PCI DSS е достатъчно мощен компонент на изображението, тъй като тя е свидетелство за банките се грижат за своите клиенти и начин за повишаване на тяхната лоялност.
Смятате банкомати извън обхвата на PCI DSS?
Да, някои от подсистемата банкомат, участващи в обработката, съхранението и предаването на данни за притежателите на разплащателни карти, включени в обхвата на PCI DSS.
4. Трябва ли всяка техническа база за проверка и заверка на PCIDSS? Има ли свързване на изискванията за PCI DSS до конкретни решения - хардуер, софтуер, технологии?
PCI DSS стандарт не съдържа изисквания за използването на специфични технически решения, модели, хардуерни и софтуерни версии. PCI DSS налага изисквания за организацията на процесите на информационната сигурност, функционалност, защита на информационните активи, техните конфигурации и конфигуриране на приложения.
5. Колко време отнема на услугата сертифициране на PCI DSS?
време на одита, зависи от размера на обхвата на PCI DSS, както и характеристиките на инфраструктура на компанията. Като цяло, одит на място на компанията продължава 3-5 дни (с напускането на служител в офиса).
Въпреки това, в подготовка за сертифициране на съответствието с PCI DSS трябва да се вземат под внимание редица важни точки.
По този начин, на плана за одит и развитието, като се има предвид определението на границата на проекта, отнема от един до четири месеца. Timeline за стандарти за съответствие са в пряка зависимост от установените недостатъци, развитието на ИТ инфраструктурата и текущата натовареност на ИТ системите на финансовите институции на други проекти. Ето защо, тази процедура може да отнеме от два месеца до две години.
Въпреки това, основните въпроси, на етапа на одита може да бъде липсата на документация, регламентираща ИТ дейности (това усложнява определянето на границата на проекта и забавя събирането на информация), както и голям брой софтуер "samopisnogo", което го прави трудно да се узаконяване, липсата на документация в руски и украински езици, липсата на шаблонни документи за политиката на сигурност (разработени собствената си много лесно), както и голям организационен тежест.
6. Колко често трябва да бъдат одитирани?
В съответствие с установената международна програма валидиране PCI DSS спазване платежните системи в редица организации трябва да се подложи на годишен одит. Програма за оценка на съответствието се различават за търговци (търговци) и доставчици на услуги (доставчици на услуги).
Годишен одит изисква да премине на търговията и услугите предприятията, извършващи повече от шест милиона картови транзакции на година. По отношение на доставчиците на услуги, международна платежна система VISA изисква преминаване на годишен одит на всички центрове за обработка, както и доставчици на услуги, обработка на повече от 300,000 транзакции на година, и MasterCard - всички центрове за обработка, както и доставчиците на услуги, които се справят повече от един милион транзакции на година ,
7. Какви са ползите за клиента върху сертифицирането на PCI DSS на резултатите?
Одитът на изпълнението на информационната инфраструктура на стандартни изисквания QSA-одитора (регистриран одитор) компанията ще подготви доклад за проучването (ReportonCompliance), съдържащ подробна информация за изпълнението на всяка една от изискванията за PCI DSS. Докладът за резултатите от работата оценява сегашното ниво на спазване на информационна система на клиентите международен стандарт за сигурност PCI DSS.
Ако информационната система на дружеството е в съответствие с PCI DSS, в резултат на сертификационния одит, клиентът получава сертификат за съответствие след одобрение от PCI SSC (PCI Security Standard Съвета).
8. Кой одити? Как се става одитор за PCI DSS?
Одит за съответствие с изискванията на PCI DSS, имат право да извършват компанията със статут на QSA (Квалифицирано сигурност оценител).
Палата са два състояния:
Нахранете QSA (Квалифицирано сигурност оценител) и ASV (Упълномощен Сканиране на продавача)
QSA-одитор извършва одит, на PCI DSS (годишен одит на площадката на фирмата)
ASV-одиторски сканиране. Сканирането се извършва за компании с по-малко сделки (тримесечни сканиране, извършвани от доставчика на сертифициран сервиз (ASV))
Официалният списък на фирми, които имат този режим е показан на сайта на PCI SSC. Персоналът на фирмата има статут на QSA, трябва да работят сертифицирани QSA-одитор.
Как се става одитор на PCI DSS?
Необходимо е да се вземат курсове в Америка и PCI SSC изпити. Обучението може да се проведе и дистанционно и да вземат изпити след обучението.
9. Какво е сертифициране на разлика PCI DSS от PA-ДПС?
За сигурността на заявленията за плащане, разработена от Съвета на PA-DSS стандарт (вноска Application Data стандарт за сигурност), който от една страна разработването на нормативни актове Visa PABP (приложение разплащателни Най-добри практики), а от друга страна - изменение на изискванията на PCI DSS за приложенията.
След като се започне организации за сертифициране програми, които боравят с кражба на данни от страна на PCI DSS, PCI SSC съвет на дейности, за да се гарантира безопасността на сектора на платежните получи своето развитие под формата на стартиращи програми за подобряване на сигурността на заявления за плащане.
10. Do в одитори Украйна с PCI DSS?
Има. Но малко. В България има повече от тези одитори.
SBSB няма право да извършва сертифициране PCI DSS. Ние можем да препоръчаме партньорски компании, които се занимават с това.
11. Каква е цената на удостоверителни услуги за PCI DSS?
Ясни тарифи не съществуват. Има цени за човекочаса, еврото, обема на работата. Но днес на сертификационния одит не е по-малко от 13,000 евро.
Допълнително се заплаща провеждане на идентификация и сканиране за уязвимости на безжични точки за достъп и предварителен одит за съответствие (от 2500 евро).