Киберспокойствие Вашего бизнеса
г. Алматы, ул. Ауэзова 60, бизнес-центр «Almaty Residence», офис 17А
Пн-Пт: 9:00-18:00
г. Нур-Султан, ул. Алматы 7, бизнес-центр «Seven», офис 903
Пн-Пт: 9:00-18:00

Консалтинг PCI DSS/PA-DSS

Консалтинг PCI DSS/PA-DSS
Описание

Услуги по подготовке к сертификации на соответствие требованиям стандарта безопасности данных платежных приложений (PA-DSS) индустрии платежных карт (PCI)

Данные работы проводятся совместно с партнером Акционерным обществом «ДиалогНаука», имеющим аккредитацию Qualified Security Assessor (QSA), которая позволяет проводить сертификационный аудит на соответствие требованиям стандарта Payment Card Industry Data Security Standard (PCI DSS), а также аккредитацию Approved Scanning Vendor (ASV), позволяющую проводить ASV-сканирования уязвимостей в соответствии с требованиями стандарта PCI DSS.

Описание стандартов PCI DSS и PA-DSS:


  • PCI DSS

    Стандарт PCI DSS (Payment Card Industry Data Security Standard) предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими.

    Стандарт разработан сообществом PCI Security Standards Council, в которое входят мировые лидеры на рынке платежных карт, такие как American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International.

    Скачать стандарт PCI DSS 3.0 на русском языке


    what-is-pci-dss.jpg

    Стандарт PCI DSS

    Стандарт PCI DSS предусматривает комплексный подход к обеспечению информационной безопасности. PCI DSS объединяет программы платежных систем VISA Account Information Security (AIS), Visa Cardholder Information Security Program (CISP) и программу MasterCard Site Data Protection (SDP). Решение о создании стандарта было вызвано резким увеличением числа инцидентов, связанных с утечкой данных о держателях платежных карт.

    Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, e-commerce и т.п.). Причем требования относятся только к тем информационным системам компании, в которых обрабатывается или хранится информация о платежных картах, а также к системам, которые с ними взаимосвязаны.

    Положения стандарта описывают такие аспекты, как:

    • Разработка и совершенствование безопасной сетевой инфраструктуры.
    • Защита данных о держателях платежных карт.
    • Контроль процесса обновления системных компонентов и антивирусного ПО на серверах и рабочих станциях.
    • Контроль и разграничение доступа к информационным ресурсам.
    • Мониторинг событий.
    • Политика информационной безопасности.


    PCI DSS в Казахстане и странах СНГ

    В Казахстане соответствие стандарту PCI DSS стало обязательно с 2007 года. Поэтому компании, которые обрабатывают и хранят данные о держателях платежных карт и работают с международными платежными системами, обязаны ежегодно проходить сертификацию на соответствие требованиям стандарта PCI DSS.

    С 2008 года требование соответствия стандарту ужесточается, и к компаниям, в которых выполняется большое количество транзакций, не прошедшим процедуру сертификации, начнут применяться штрафные санкции.


    Как пройти сертификацию по PCI DSS

    Для получения сертификата соответствия PCI DSS компания должна подготовить информационную систему, которая обрабатывает и хранит данные о держателях платежных карт, к соответствию требованиям стандарта и пройти сертификационный аудит. Прохождение сертификации целесообразно разбить на два этапа

    На первом этапе проводится предварительный аудит, в рамках которого выявляются уязвимости информационной системы компании, вырабатываются рекомендации по повышению текущего уровня защищенности информационной системы. Дополнительно должен быть проведен тест на проникновение, обязательный в соответствии с требованиями стандарта PCI DSS.

    На втором этапе, после выявления всех несоответствий и их устранения согласно предоставленным рекомендациям, проводится итоговый сертификационный аудит, который могут проводить только сертифицированные PCI Security Standards Council компании, имеющие статус QSA (Qualified Security Assessor). После проведения сертификационного аудита, QSA аудиторы предоставляют отчеты в соответствующий сертифицирующий орган, который принимает решение о выдаче сертификата.

    Стандарт PCI DSS предписывает ежегодное проведения теста на проникновение, причем под тестом на проникновение понимается проведение атак на сетевом уровне и уровне приложений на все публично доступные сервисы компании, а также т. н. “war-dialing” для проверки наличия возможности проникновения в корпоративную сеть компании по коммутируемым каналам связи. Тест на проникновение не ограничивается сканированием различными сканерами безопасности – это отдельно подчеркивается специалистами PCI SSC.


    Cертификационный аудит на соответствие PCI DSS (выполняется совместно с компанией Trustwave)

    В процессе работы применяется методика «Анализ выполнения мер и требований стандарта PCI DSS согласно процедуре аудита PCI DSS Security Audit Procedure».

    Методика включает в себя анализ предоставленной информации и проверку выполнения на практике требований стандарта PCI DSS, осуществляемую при помощи инструментальных средств аудита и интервьюирования должностных лиц.

    На первом этапе производится:

    • Анализ, систематизация и уточнение полученных от Заказчика исходных данных о компонентах информационной системы, в которых хранится или обрабатывается критичная информация о платежных картах.
    • Анализ нормативно-распорядительной документации по информационной безопасности (политик, регламентов и инструкций), необходимой в соответствии с требованиями стандарта PCI DSS.
    • Анализ топологии сети, состава и характеристик аппаратных и программных средств передачи информации.
    • Анализ характера внутренних и внешних связей информационной системы, информационных потоков и принципов обработки критичной информации о платежных картах в информационной системе.
    • Определение и утверждение области применения стандарта (области сертификации) на основании результатов работы по предыдущим пунктам.

    На втором этапе производится:

    • Сертификационный аудит информационной системы Заказчика.
    • Подготовка отчета о результатах сертификационного аудита.

    В отчете по результатам работ приводится оценка соответствия текущего уровня защищенности информационной системы Заказчика международному стандарту PCI DSS.

    Если информационная система компании соответствует стандарту PCI DSS по результатам сертификационного аудита, Заказчик получает сертификат соответствия после одобрения PCI SSC (PCI Security Standard Council).

  • PA-DSS

    Сертификационный аудит платежного приложения на соответствие требованиям стандарта безопасности платежных приложений PA-DSS (Payment Application Data Security Standard) свидетельствует о безопасной обработке им карточных данных и возможности внедрения приложения в информационную инфраструктуру, сертифицированную по стандарту PCI DSS.

    Скачать стандарт PA-DSS 3.0 на русском языке


    Этапы сертификации

    1. Предварительный анализ приложения
      • Анализ документации, интервью с сотрудниками Заказчика
      • Анализ процесса разработки ПО
      • Предварительная оценка соответствия требованиям PA-DSS
      • Разработка рекомендаций по приведению приложения в соответствие PA-DSS
    2. Консультации по приведению приложения в соответствие PA-DSS
      • Консультирование сотрудников в процессе приведения приложения в соответствие требованиям стандарта PA-DSS
      • Консультирование сотрудников в процессе разработки Руководства по внедрению приложени
      • Обучение разработчиков платежных приложений методам безопасной разработки программного обеспечения
      • Разработка руководства по безопасному внедрению (Implementation Guide) в соответствии с требованиями PA-DSS
      • Разработка нормативной документации в соответствии с требованиями PA-DSS
      • Контрольные проверки в ходе в процессе приведения приложения в соответствие требованиям стандарта PA-DSS
    3. Сертификационный аудит приложения на соответствие требованиям PA-DSS (выполняется совместно с компанией Trustwave)
      • Сертификационный анализ Руководства по внедрению приложения (Implementation Guide)
      • Сертификационный анализ процесса разработки ПО
      • Сертификационный анализ безопасности приложения в испытательной лаборатории
      • Сертификационная оценка соответствия требованиям PA-DSS
      • Подготовка Отчета о Соответствии

    Применяемая методика

    В ходе выполнения работ по сертификации платежного приложения по требованиям стандарта PA-DSS применяются следующая методика:

    • Методика аудита PA-DSS Requirement and Security Assessment Procedures, разработанная и утвержденная Советом PCI SSC. Процедура аудита строго регламентирована и подробно описывает действия аудитора, проводящего оценку безопасности платежного приложения и процесса его разработки. Итоговая оценка делается на основании анализа документации, интервьюирования сотрудников и исследования безопасности приложения в условиях тестовой лаборатории.

    Результаты сертификации

    В результате сертификационного аудита разработчику платежного приложения предоставляется отчетная документация, необходимая для того, чтобы включить приложение в список на официальном сайте Совета PCI SSC.

    Включение платежного приложения в глобальный список сертифицированных по стандарту PA-DSS продуктов является неоспоримым конкурентным преимуществом для его разработчика и открывает ему дорогу на рынок прикладных систем для процессинговых центров, платежных шлюзов, магазинов и других торгово-сервисных предприятий, включая e-commerce. Получение сертификата соответствия требованиям стандарта PA-DSS стало особенно актуальным после опубликования международными платежными системами Visa и MasterCard крайнего срока необходимости перехода всех участников индустрии платежных карт на использование только сертифицированных приложений, а именно – 1 июля 2012 года.