Сертификация по PCI DSS
Стандарт безопасности данных индустрии платёжных карт PCI DSS описывает требования по защите информации и применим ко всем организациям, обрабатывающим, хранящим и передающим данные о держателях платёжных карт Visa, MasterCard, JCB, Discover, American Express. К таким организациям относятся банки, розничные магазины, системы электронной коммерции, поставщики платёжных решений, центры обработки данных и другие.
Схема сертификации той или иной организации по стандарту PCI DSS зависит от её роли в платёжном процессе и количества обрабатываемых данных о держателях карт. Для примера рассмотрим сертификацию поставщиков услуг, к которым относятся банки, платёжные шлюзы и дата-центры. При объеме обрабатываемых карточных данных, превышающем 300 000 транзакций в год, такие организации должны проходить ежегодный сертификационный QSA-аудит и выполнить автоматизированное ASV-сканирование уязвимостей сети. При меньшем количестве транзакций достаточно заполнить лист самооценки (SAQ) и выполнить ASV-сканирование.
Однако, независимо от способа подтверждения соответствия, требования стандарта необходимо выполнить в полном объеме в сегменте сети, отведенном под платёжную инфраструктуру. Для решения этой задачи мы предлагаем специализированный набор консультационных услуг, объединенных целью внедрения PCI DSS в организации и последующей её сертификации по этому стандарту.
Типовой проект по приведению информационной инфраструктуры в соответствие требованиям PCI DSS и последующей сертификации состоит из следующих услуг:
- Анализ соответствия PCI DSS
- Рекомендации по выполнению требований PCI DSS
- Разработка нормативных документов для PCI DSS
- Консультационная поддержка внедрения PCI DSS
- Тестирование на проникновение
- ASV-сканирование уязвимостей сети
- Помощь в выполнении самооценки PCI DSS (SAQ), или
- Сертификационный QSA-аудит соответствия PCI DSS