Агентство Активного Аудиту

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

plastic card

ПОСЛУГИ АУДИТУ ІНФОРМАЦІЙНИХ СИСТЕМ НА ВІДПОВІДНІСТЬ СТАНДАРТУ PCI DSS

Що це таке?

Payment Card Industry Data Security Standard (PCI DSS) або Стандарт захисту інформації в індустрії платіжних карт - призначений для забезпечення безпеки обробки, зберігання і обміну даними про власників платіжних карт в інформаційних системах компаній учасників міжнародних платіжних систем Visa, MasterCard, American Express, JCB, Discover.

PCI DSS – це сукупність вимог до інформаційних систем компанії, в яких обробляється або зберігається інформація про платіжні картки, а також до систем, які з ними взаємопов'язані.

Положення стандарту описують такі аспекти, як:

  • Побудова та обслуговування захищеної мережі;
  • Захист даних про власників карток;
  • Управління уразливими місцями;
  • Впровадження суворих заходів контролю доступу;
  • Регулярний моніторинг і тестування мережі;
  • Розробка політики інформаційної безпеки.
pci dss

Навіщо це потрібно?

Вимоги стандарту PCI DSS є обов'язковими для всіх Українських банків, і поширюються на всі компанії, які обробляють, зберігають або передають дані про власників платіжних карт. Прикладами таких організацій є торгово-сервісні підприємства (роздрібні магазини та служби електронної комерції), а також постачальники послуг, пов'язаних з обробкою, зберіганням і передачею карткової інформації (процесингові центри, платіжні шлюзи, call-центри, сховища носіїв резервних копій даних, організації, беруть участь у персоналізації карт і т. п.)

Якщо організація зберігає, обробляє або передає протягом року інформацію хоча б про одну карткову транзакцію або власника платіжної карти, то вона повинна відповідати вимогам стандарту PCI DSS. Міжнародні платіжні системи передбачають накладення штрафних санкцій на організації, які зобов'язані проходити щорічний зовнішній аудит відповідності PCI DSS, але не проходять його.

У результаті проходження аудиту на відповідність вимогам стандарту PCI DSS компанія отримує такі переваги:

  • Задоволення вимог міжнародних платіжних систем;
  • Формування громадської думки про чесне ім'я та стабільному положенні компанії і, як наслідок, підвищення довіри з боку споживачів;
  • Зростання клієнтської бази і бізнесу в цілому;
  • Запобігання та / або зниження рівня ризиків ІТ;
  • Зниження ризиків від можливого розголошення конфіденційної інформації;
  • Підвищення рівня обізнаності персоналу компанії в питаннях забезпечення інформаційної безпеки.

Як проводиться аудит інформаційної безпеки на відповідність PCI DSS?

pci ssc

Для отримання сертифікату компанія повинна підготувати інформаційну систему, яка обробляє і зберігає дані про власників платіжних карт, до відповідності вимогам стандарту і далі пройти сертифікаційний аудит.

Сертифікаційний аудит на відповідність вимогам стандарту PCI DSS мають право проводити компанії, які мають статус QSA (Qualified Security Assessor). Офіційний перелік компаній, що володіють таким статусом, наведено на сайті PCI SSC.

Проходження сертифікації доцільно розбити на два етапи:

  • Проходження попереднього аудиту, результатом якого є виявлення всіх вразливостей інформаційної системи і вироблення рекомендацій щодо їх усунення. Додатково повинен бути проведений тест на стійкість до злому, відповідно до вимог PSI DSS.
  • Після усунення всіх знайдених вразливостей проводиться підсумковий сертифікаційний аудит. При проходженні аудиту, компанії видається сертифікат.

Ми пропонуємо:

Компанія «Агентство активного аудиту» пропонує проведення попереднього аудиту перед проходженням сертифікації на відповідність PCI DSS. Проходження незалежного аудиту дасть Вам перелік недоліків і рекомендації щодо їх усунення, аналіз ризиків і впевненість у проходженні подальшої сертифікації.

У рамках надання послуги з проведення аудиту компанія «Агентство активного аудиту» виконають наступні роботи:

  • Аудит інфраструктури інформаційних систем на відповідність стандарту PCI DSS;
  • Тест на проникнення в інформаційні системи;
  • Складання технічних вимог до проектів в області ІТ і безпеки;
  • Розробка проектної документації;
  • Впровадження процесів;
  • Впровадження технологічних рішень.