Версия для печати Контакты Блог LETA Поиск
LETA IT-company
LETAУслугиУслуги и решения в области соответствия требованиямПриведение инфраструктуры…

Приведение инфраструктуры компании в соответствие требованиям стандарта PCI DSS

Для обеспечения необходимого уровня безопасности при обработке данных держателей платежных карт и выполнения обязательных требований платежных систем, компания LETA предлагает полный комплекс услуг по приведению инфраструктуры Заказчика в соответствие требованиям стандарта PCI DSS. В рамках проектов, компания LETA предлагает последовательно реализовать все необходимые действия для этого действия и создать максимально благоприятные условия для получения Заказчиком заключения о полном соответствии требованиям стандарта.

Компания LETA предлагает полный комплекс услуг, нацеленных на успешное прохождение аудита PCI DSS и получение статуса PCI Compliance.

Кто должен соответствовать стандарту?

Соответствие требованиям стандарта PCI DSS – обязательное требование международных платежных систем, распространяющееся на все организации, которые хранят, обрабатывают, или передают данные держателей платежных карт. 

Примерами таких организаций являются т.н. «мерчанты» (merchants, торгово-сервисные предприятия - розничные  магазины и службы электронной коммерции), а также сервис провайдеры (service providers, поставщики услуг, связанных с обработкой, хранением и передачей карточной информации – процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.).

Кто должен проводить сертификационный аудит?

Ежегодный сертификационный аудит необходимо проходить торгово-сервисным предприятиям, обрабатывающим более 6 000 000 транзакций в течение года, а также сервис провайдерам обрабатывающим более 300 000 транзакций.

Что дает сертификация PCI DSS?

Помимо выполнения требований международных платежных систем к проведению обязательной сертификации для мерчантов и сервис провайдеров, сертификация, прежде всего необходима самой организации.

Сертификация PCI DSS позволяет получить маркетинговые преимущества и повысить доверие со стороны клиентов, партнеров, контрагентов, владельцев бизнеса. Кроме того, получив статус PCI Compliance, организация минимизирует не только финансовые и репутационные риски, но и возможные убытки, связанные с утерей важных данных благодаря страховке QSA аудитора.

Какие санкции возможны в случае не соответствия требованиям PCI DSS?

Выполнение требований PCI DSS – обязательное требование международных систем. Для анализа экономической целесообразности проекта по приведению в соответствие помимо учета риска компрометации данных держателей платежных карт, а также репутационных рисков, необходимо представлять рычаги воздействия самих платежных систем на своих партнеров. Среди них можно выделить:
штрафные санкции, которые в настоящее время уже определены, и могут достигать сотен тысяч долларов в год (например, Visa индивидуально уведомляет своих партнеров о порядке применения штрафных санкций через Member Letters);

ограничения по работе с  платежными системами  (Visa заявила,что не будет подключать к своей сети новых партнеров, которые не выполняют требования PCI DSS, а все существующие, VisaNet Processors, для получения новых подключений к VisaNet, должны подтвердить соответствие требованиям PCI DSS).

Решение компании LETA по реализации требований PCI DSS

Следуя принципу разделения ролей интегратора (исполнителя работ по устранению несоответствий) и аудитора (сертифицированного консультанта, оценивающего изначальную и финальную готовность Заказчика), компания LETA совместно с ведущими QSA компаниями предлагает реализацию комплексного проекта по приведению инфраструктуры Заказчика в соответствие требованиям Стандарта PCI DSS.

Основная задача PCI DSS проекта – достижение и постоянное поддержание требуемого стандартом уровня информационной безопасности, подтверждением чего является успешный аудит.

Наша проектная команда проведет Вашу компанию через все этапы до получения сертификата соответствия и обеспечит поддержание соответствия стандарту PCI DSS.

Общая структура проекта и весь ход работ разделяется на 3 основных этапа:

На этапе I «Анализ несоответствий» выполняются следующие работы:

  • определение границ области оценки и оценка возможностей её минимизации;
  • анализ документации;
  • интервьюирование сотрудников;
  • выборочный контроль систем, входящих в границы области оценки;
  • разработка экспертного заключения с рекомендациями по приведению инфраструктуры в соответствие требованиям Стандарта PCI DSS;
  • подготовка бюджетной оценки сроков и стоимости работ, этапа II.

В ходе этапа II «Устранение несоответствий» устраняются несоответствия, выявленные в ходе этапа анализа несоответствий, сканирований на наличие уязвимостей и тестирования на проникновение.

Этап включает:

  • проектирование процессов обеспечения ИБ данных держателей платежных карт;
  • разработку организационно-распорядительной документации;
  • поставку и внедрение программных и аппаратных средств защиты данных держателей платежных карт;
  • отработку и корректировку функционирования внедренных процедур, накопление записей.

Целью этапа III «Сертификационный аудит PCI DSS» является:

  • сертификация на соответствие требованиям стандарта PCI DSS;
  • построение системы пост-проектного сопровождения Заказчика для поддержания соответствия требованиям Стандарта PCI DSS.

Дополнительные услуги LETA в области PCI DSS:

  • Ежеквартальное сканирование на уязвимости (ASV): включает проверку безопасности всех информационных систем, входящих в PCI scope (границы области оценки PCI DSS) и подключенных к Internet, включая межсетевые экраны, почтовые серверы, web-серверы, DNS-серверы и балансировщики нагрузки.
  • Ежегодное тестирование на проникновение:  проверка возможности получения злоумышленником (как внешним хакером, так сотрудником Компании) доступа к данным держателей платежных карт, путем преодоления средств защиты, используемых компанией. По результатам тестирования на проникновение, разрабатывается итоговый отчет, содержащий детальное описание проведенных работ, выявленные уязвимости системы и способы их эксплуатации, а также рекомендации по устранению.
  • Обучающие семинары: проведение семинаров по вопросам информационной безопасности для персонала Заказчика.

Наши партнеры

Предлагая нашим  клиентам комплексные проекты, нацеленные на получение статуса PCI Compliance, мы сотрудничаем с ведущими QSA компаниями такими как:

  • Trustwave;
  • Digital Security;
  • Sysnet Global Solutions.

 Наши преимущества

  • Мы предлагаем комплексный проект, предполагающий наличие двух независимых ролей - консультанта и интегратора, соблюдая тем самым принцип разделения полномочий.
  • Мы  разрабатываем план устранения выявленных несоответствий, но и помогаем его реализовать перед проведением сертификационного аудита.
  • Контроль над реализацией рекомендаций по устранению несоответствий осуществляется QSA аудиторами, выполняющими сертификационный аудит PCI DSS, в результате чего минимизируются риски выявления несоответствий, и сокращается время проведения итогового аудита.
  • Опыт  компании LETA обеспечивает возможность минимизации расходов заказчика путем предложения решений учитывающих как требования международных платежных систем, так и отечественных регуляторов.
  • Наша проектная деятельность основана на лучших мировых практиках (PMI PMBOK) и включает обязательный контроль качества.
  • Технология компании LETA по предоставлению услуг ИБ сертифицирована Британским Институтом Стандартов (BSI) на соответствие стандарту ISO 9001. 

Информацию по сканированию уязвимостей, а также по тестированию на проникновение в соответствии с требованиями PCI DSS, вы можете найти здесь.

Годовые отчеты Годовые отчеты
Выполненные проекты Выполненные проекты
LETA на ТВ LETA на ТВ
???????@Mail.ru ???????@Mail.ru
Система Orphus
Leta.ru Компания №1 в области Защиты Информации Текущая категория