Интернет журныл о промышленности в Украине

PCI DSS / PA-DSS

  1. Стандарт PCI DSS
  2. Положення стандарту описують такі аспекти, як:
  3. Як пройти сертифікацію по PCI DSS
  4. Сертифікаційний аудит на відповідність PCI DSS (виконується спільно з компанією Trustwave )
  5. На першому етапі проводиться:

Стандарт PCI DSS (Payment Card Industry Data Security Standard) призначений для забезпечення безпеки обробки, зберігання та передачі даних про власників платіжних карт в інформаційних системах компаній, що працюють з міжнародними платіжними системами Visa, MasterCard і іншими.
Стандарт розроблений спільнотою PCI Security Standards Council, в яке входять світові лідери на ринку платіжних карт, такі як American Express, Discover Financial Services, JCB, MasterCard Worldwide та Visa International.
Завантажити стандарт PCI DSS 3.0 російською мовою Стандарт PCI DSS (Payment Card Industry Data Security Standard) призначений для забезпечення безпеки обробки, зберігання та передачі даних про власників платіжних карт в інформаційних системах компаній, що працюють з міжнародними платіжними системами Visa, MasterCard і іншими

Стандарт PCI DSS

Стандарт PCI DSS передбачає комплексний підхід до забезпечення інформаційної безпеки. PCI DSS об'єднує програми платіжних систем VISA Account Information Security (AIS), Visa Cardholder Information Security Program (CISP) і програму MasterCard Site Data Protection (SDP). Рішення про створення стандарту було викликано різким збільшенням числа інцидентів, пов'язаних з витоком даних про власників платіжних карт.
Вимоги стандарту PCI DSS поширюються на всі компанії, які обробляють, зберігають або передають дані про власників платіжних карт (банки, процесингові центри, сервіс-провайдери, e-commerce і т.п.). Причому вимоги відносяться тільки до тих інформаційних систем компанії, в яких обробляється або зберігається інформація про платіжні картки, а також до систем, які з ними пов'язані між собою.

Положення стандарту описують такі аспекти, як:

  • Розробка і вдосконалення безпечної мережевої інфраструктури.
  • Захист даних про власників платіжних карт.
  • Контроль процесу оновлення системних компонентів і антивірусного ПО на серверах і робочих станціях.
  • Контроль і розмежування доступу до інформаційних ресурсів.
  • Моніторинг подій.
  • Політика інформаційної безпеки.

PCI DSS в Казахстані і країнах СНД

У Казахстані відповідність стандарту PCI DSS стало обов'язково з 2007 року. Тому компанії, які обробляють і зберігають дані про власників платіжних карт і працюють з міжнародними платіжними системами, зобов'язані щорічно проходити сертифікацію на відповідність вимогам стандарту PCI DSS.
З 2008 року вимога відповідності стандарту посилюється, і до компаній, в яких виконується велика кількість транзакцій, що не пройшли процедуру сертифікації, почнуть застосовуватися штрафні санкції.

Як пройти сертифікацію по PCI DSS

Для отримання сертифіката відповідності PCI DSS компанія повинна підготувати інформаційну систему, яка обробляє і зберігає дані про власників платіжних карт, до відповідності вимогам стандарту і пройти сертифікаційний аудит. Проходження сертифікації доцільно розбити на два етапи
На першому етапі проводиться попередній аудит, в рамках якого виявляються вразливості інформаційної системи компанії, виробляються рекомендації щодо підвищення поточного рівня захищеності інформаційної системи. Додатково повинен бути проведений тест на проникнення, обов'язковий відповідно до вимог стандарту PCI DSS.
На другому етапі, після виявлення всіх невідповідностей і їх усунення відповідно до наданих рекомендацій, проводиться підсумковий сертифікаційний аудит, який можуть проводити тільки сертифіковані PCI Security Standards Council компанії, що мають статус QSA (Qualified Security Assessor). Після проведення сертифікаційного аудиту, QSA аудитори надають звіти до відповідного сертифікуючий орган, який приймає рішення про видачу сертифіката.
Стандарт PCI DSS наказує щорічне проведення тесту на проникнення, причому під тестом на проникнення розуміється проведення атак на мережевому рівні і рівні додатків на всі публічно доступні сервіси компанії, а також т. Н. "War-dialing" для перевірки наявності можливості проникнення в корпоративну мережу компанії по комутованих каналах зв'язку. Тест на проникнення не обмежується скануванням різними сканерами безпеки - це окремо підкреслюється фахівцями PCI SSC.

Сертифікаційний аудит на відповідність PCI DSS (виконується спільно з компанією Trustwave )

В процесі роботи застосовується методика «Аналіз виконання заходів і вимог стандарту PCI DSS відповідно до процедури аудиту PCI DSS Security Audit Procedure».
Методика включає в себе аналіз наданої інформації та перевірку виконання на практиці вимог стандарту PCI DSS, здійснювану за допомогою інструментальних засобів аудиту та інтерв'ювання посадових осіб.

На першому етапі проводиться:

  • Аналіз, систематизація та уточнення отриманих від Замовника вихідних даних про компонентах інформаційної системи, в яких зберігається або обробляється критична інформація про платіжні картки.
  • Аналіз нормативно-розпорядчої документації з інформаційної безпеки (політик, регламентів та інструкцій), необхідної відповідно до вимог стандарту PCI DSS.
  • Аналіз топології мережі, складу і характеристик апаратних і програмних засобів передачі інформації.
  • Аналіз характеру внутрішніх і зовнішніх зв'язків інформаційної системи, інформаційних потоків і принципів обробки критичної інформації про платіжні картки в інформаційній системі.
  • Визначення та затвердження сфери застосування стандарту (області сертифікації) на підставі результатів роботи по попереднім пунктам.

На другому етапі проводиться:

  • Сертифікаційний аудит інформаційної системи Замовника.
  • Підготовка звіту про результати сертифікаційного аудиту.

У звіті за результатами робіт наводиться оцінка відповідності поточного рівня захищеності інформаційної системи Замовника міжнародному стандарту PCI DSS.
Якщо інформаційна система компанії відповідає стандарту PCI DSS за результатами сертифікаційного аудиту, Замовник отримує сертифікат відповідності після схвалення PCI SSC (PCI Security Standard Council).