Киберспокойствие Вашего бизнеса
г. Алматы, ул. Ауэзова 60, бизнес-центр «Almaty Residence», офис 17А
Пн-Пт: 9:00-18:00
г. Астана, ул. Алматы 7, бизнес-центр «Seven», офис 903
Пн-Пт: 9:00-18:00

Консалтинг PCI DSS/PA-DSS

Консалтинг PCI DSS/PA-DSS
Описание

Услуги по подготовке к сертификации на соответствие требованиям стандарта безопасности платежных данных (PCI DSS; PA-DSS) индустрии платежных карт (PCI)

Данные работы проводятся совместно с партнерами, имеющие аккредитацию Qualified Security Assessor (QSA), которая позволяет проводить сертификационный аудит на соответствие требованиям стандарта Payment Card Industry Data Security Standard (PCI DSS), а также аккредитацию Approved Scanning Vendor (ASV), позволяющую проводить ASV-сканирования уязвимостей в соответствии с требованиями стандарта PCI DSS.

Описание стандартов PCI DSS и PA-DSS:

Стандарт PCI DSS

  • Стандарт PCI DSS (Payment Card Industry Data Security Standard) предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими.

    Стандарт разработан сообществом PCI Security Standards Council, в которое входят мировые лидеры на рынке платежных карт, такие как American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International. Сертификация на соответствие требованиям стандарта серии PCI DSS позволит не только получить имиджевое преимущество, но и выполнять обязательные нормативные требования в области информационной защиты для финансовых организаций (например, Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48. Зарегистрировано в Министерстве юстиции Республики Казахстан 18 апреля 2018 года № 16772. «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах»
    То есть с помощью сертификации Вы можете закрыть несколько нормативных требований в области информационной безопасности, такие как проведение независимых аудитов ИБ на регулярной основе, проведение сканирования систем на уязвимости (например, ASV-сканирование) тестирование на проникновение. Все эти задачи решает сертификация PCI DSS.


    what-is-pci-dss.jpg

    Стандарт PCI DSS предусматривает комплексный подход к обеспечению информационной безопасности. PCI DSS объединяет программы платежных систем VISA Account Information Security (AIS), Visa Cardholder Information Security Program (CISP) и программу MasterCard Site Data Protection (SDP). Решение о создании стандарта было вызвано резким увеличением числа инцидентов, связанных с утечкой данных о держателях платежных карт.

    Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, e-commerce и т.п.). Причем требования относятся только к тем информационным системам компании, в которых обрабатывается или хранится информация о платежных картах, а также к системам, которые с ними взаимосвязаны. При этом необходимо помнить, что возможно проведение не только полноценного аудита PCI DSS, но и сокращенный вариант услуги как заполнение и регистрация листа самооценки SAQ. Задайте вопрос нашим специалистам, и мы подберем для Вас оптимальный вариант прохождения процедуры соответствия требованиям стандарта PCI DSS без лишних затрат.

    Скачать стандарт PCI DSS 3.2.1 на русском языке

    Основные требования Стандарта:

    • наличие средств защиты ИБ и постоянное их обновление

    • применение инструментов для защиты корпоративных сетей (парольная политика и т.д.)

    • обеспечение системы на проведение регулярных проверок состояния инфраструктуры, включая регулярное сканирование на уязвимости (ASV) и тестирование на проникновение

    • обеспечение защиты данных держателей платежных карт, передача данных по протоколам защиты, наличие шифрования данных и т.д.

    • наличие и строгое выполнение Политики ИБ

    • проведение регулярных проверок на соответствие ИБ

    • наличие рабочего алгоритма действий при взломе системы и т.д.

    • внедрение контрольных мер по доступу к хранилищу, соответствующие Политики и ответственности


    PCI DSS в Казахстане

    В соответствии с требованиями Постановления Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48. Зарегистрировано в Министерстве юстиции Республики Казахстан 18 апреля 2018 года № 16772. «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах», в банке должна быть разработана и внедрена система управления информационной безопасностью с проведением мониторинга эффективности СУИБ и проведения внутренних и внешних проверок, включая тестирование на проникновение (ПЕНТЕСТ) экспертными организациями.


    Как пройти сертификацию по PCI DSS

    Наша компания занимается полным циклом предоставления услуги по сертификации PCI DSS – от разработки документации в соответствии со стандартом PCI DSS v 3.2.1 до обеспечения сертификации одобренным органом в системе PCI Security Standards Council. В эту услугу входят следующие этапы работ:

    • определение области сертификации

    • проведение анализа первичной информации

    • разработка\актуализация документации в соответствии с требованиями PCI DSS

    • тестирование на проникновение

    • ASV-сканирование

    • проведение корректирующих мер и рекомендаций (при необходимости)

    • проведение сертификационного аудита

    • оформление отчетных документов\сертификат

    • консультационная поддержка в течение года (срок действия сертификата), что включает в себя:

    • ежеквартальное ASV-сканирование с предоставлением информации об уязвимостях и рекомендациями

    • текущее консультирование по поддержанию соответствия требований PCI DSS (взаимодействие с Клиентами, внесение изменений в документацию, распределение ответственности и т.д.).



    Стандарт PA-DSS

  • Совет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал весной 2016 года версию 3.2 стандарта безопасности данных для платежного программного обеспечения PA-DSS. Cтандарт полезен в том числе разработчикам, чтобы заложить требования защиты от хищения данных при использовании их программных продуктов. Самые крупные международные организации отдают предпочтение программному обеспечению, проверенному на соответствие стандарту PA-DSS (PA-DSS Validated), т.к. это гарантирует им безопасный прием платежей, как в физических магазинах, так и через Интернет. Использование такого ПО также помогает компаниям в их работе по обеспечению безопасности данных платежных карт в их системах и сетях, согласно требованиям более полного стандарта PCI DSS.

    Скачать стандарт PA-DSS 3.0 на русском языке


    Этапы сертификации

    1. Предварительный анализ приложения
      • Анализ документации, интервью с сотрудниками Заказчика
      • Анализ процесса разработки ПО
      • Предварительная оценка соответствия требованиям PA-DSS
      • Разработка рекомендаций по приведению приложения в соответствие PA-DSS
    2. Консультации по приведению приложения в соответствие PA-DSS
      • Консультирование сотрудников в процессе приведения приложения в соответствие требованиям стандарта PA-DSS
      • Консультирование сотрудников в процессе разработки Руководства по внедрению приложени
      • Обучение разработчиков платежных приложений методам безопасной разработки программного обеспечения
      • Разработка руководства по безопасному внедрению (Implementation Guide) в соответствии с требованиями PA-DSS
      • Разработка нормативной документации в соответствии с требованиями PA-DSS
      • Контрольные проверки в ходе в процессе приведения приложения в соответствие требованиям стандарта PA-DSS
    3. Сертификационный аудит приложения на соответствие требованиям PA-DSS
      • Сертификационный анализ Руководства по внедрению приложения (Implementation Guide)
      • Сертификационный анализ процесса разработки ПО
      • Сертификационный анализ безопасности приложения в испытательной лаборатории
      • Сертификационная оценка соответствия требованиям PA-DSS
      • Подготовка Отчета о Соответствии

    Применяемая методика

    В ходе выполнения работ по сертификации платежного приложения по требованиям стандарта PA-DSS применяются следующая методика:

    • Методика аудита PA-DSS Requirement and Security Assessment Procedures, разработанная и утвержденная Советом PCI SSC. Процедура аудита строго регламентирована и подробно описывает действия аудитора, проводящего оценку безопасности платежного приложения и процесса его разработки. Итоговая оценка делается на основании анализа документации, интервьюирования сотрудников и исследования безопасности приложения в условиях тестовой лаборатории.

    Результаты сертификации

    В результате сертификационного аудита разработчику платежного приложения предоставляется отчетная документация, необходимая для того, чтобы включить приложение в список на официальном сайте Совета PCI SSC.

    Включение платежного приложения в глобальный список сертифицированных по стандарту PA-DSS продуктов является неоспоримым конкурентным преимуществом для его разработчика и открывает ему дорогу на рынок прикладных систем для процессинговых центров, платежных шлюзов, магазинов и других торгово-сервисных предприятий, включая e-commerce. Получение сертификата соответствия требованиям стандарта PA-DSS стало особенно актуальным после опубликования международными платежными системами Visa и MasterCard крайнего срока необходимости перехода всех участников индустрии платежных карт на использование только сертифицированных приложений.