Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

plastic card

УСЛУГИ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ НА СООТВЕТСТВИЕ СТАНДАРТУ PCI DSS

Что это такое?

Payment Card Industry Data Security Standard (PCI DSS) или Стандарт защиты информации в индустрии платежных карт - предназначен для обеспечения безопасности обработки, хранения и обмена данными о владельцах платежных карт в информационных системах компаний участников международных платежных систем Visa, MasterCard, American Express, JCB, Discover.

PCI DSS – это совокупность требований к информационных системам компании, в которых обрабатывается или хранится информация о платежных картах, а также к системам, которые с ними взаимосвязаны.

Положения стандарта описывают такие аспекты, как:

  • Построение и обслуживание защищенной сети;
  • Защита данных о держателях карт;
  • Управление уязвимостями;
  • Внедрение строгих мер контроля доступа;
  • Регулярный мониторинг и тестирование сети;
  • Разработка политики информационной безопасности.
pci dss

Зачем это нужно?

Требования стандарта PCI DSS является обязательными для всех Украинских банков,  и распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.)

Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Международные платежные системы предусматривают наложение штрафных санкций на организации, которые обязаны проходить ежегодный внешний аудит соответствия PCI DSS, но не проходят его.

В результате прохождения аудита на соответствие требованиям стандарта PCI DSS компания получает следующие преимущества:

  • Удовлетворение требований международных платежных систем;
  • Формирование общественного мнения о честном имени и стабильном положении компании и, как следствие, повышение доверия со стороны потребителей;
  • Рост клиентской базы и бизнеса в целом;
  • Предотвращение и/или снижение уровня рисков ИТ;
  • Снижение рисков от возможного разглашения конфиденциальной информации;
  • Повышения уровня осведомленности персонала компании в вопросах обеспечения информационной безопасности.

Как проводится аудит информационной безопасности на соответствие PCI DSS?

pci ssc

Для получения сертификата компания должна подготовить информационную систему, которая обрабатывает и хранит данные о держателях платежных карт, к соответствию требованиям стандарта и далее пройти сертификационный аудит.

Сертификационный аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании, имеющие статус QSA (Qualified Security Assessor). Официальный перечень компаний, обладающих таким статусом, приведен на сайте PCI SSC.

Прохождение сертификации целесообразно разбить на два этапа:

  • Прохождение предварительного аудита, результатом которого является обнаружение всех уязвимостей информационной системы и выработка рекомендаций по их устранению. Дополнительно должен быть проведен тест на устойчивость к взлому, в соответствии с требованиями PSI DSS.
  • После устранения всех найденных уязвимостей проводится итоговый сертификационный аудит. При прохождении аудита, компании выдается сертификат.

Мы предлагаем:

Компания «Агентство активного аудита» предлагает проведение предварительного аудита перед прохождением сертификации на соответствие PCI DSS.  Прохождение независимого аудита даст Вам перечень недостатков и рекомендации по их устранению, анализ рисков и уверенность в прохождении дальнейшей сертификации.

В рамках предоставления услуги по проведению аудита компания «Агентство активного аудита» выполнят следующие работы:

  • Аудит инфраструктуры информационных  систем на соответствие стандарту PCI DSS;
  • Тест на проникновение в информационные системы;
  • Составление технических требований к проектам в области ИТ и безопасности;
  • Разработка проектной документации;
  • Внедрение процессов;
  • Внедрение технологических решений.