Решение

Стандарт безопасности данных индустрии платёжных карт PCI DSS описывает требования по защите информации и применим ко всем организациям, обрабатывающим, хранящим и передающим данные о держателях платёжных карт Visa, MasterCard, JCB, Discover, American Express. К таким организациям относятся банки, розничные магазины, системы электронной коммерции, поставщики платёжных решений, центры обработки данных и другие.

Схема сертификации той или иной организации по стандарту PCI DSS зависит от её роли в платёжном процессе и количества обрабатываемых данных о держателях карт. Для примера рассмотрим сертификацию поставщиков услуг, к которым относятся банки, платёжные шлюзы и дата-центры. При объеме обрабатываемых карточных данных, превышающем 300 000 транзакций в год, такие организации должны проходить ежегодный сертификационный QSA-аудит и выполнить автоматизированное ASV-сканирование уязвимостей сети. При меньшем количестве транзакций достаточно заполнить лист самооценки (SAQ) и выполнить ASV-сканирование.

Однако, независимо от способа подтверждения соответствия, требования стандарта необходимо выполнить в полном объеме в сегменте сети, отведенном под платёжную инфраструктуру. Для решения этой задачи мы предлагаем специализированный набор консультационных услуг, объединенных целью внедрения PCI DSS в организации и последующей её сертификации по этому стандарту.

Типовой проект по приведению информационной инфраструктуры в соответствие требованиям PCI DSS и последующей сертификации состоит из следующих услуг:

• Анализ соответствия PCI DSS
• Рекомендации по выполнению требований PCI DSS
• Разработка нормативных документов для PCI DSS
• Консультационная поддержка внедрения PCI DSS
• Тестирование на проникновение
• ASV-сканирование уязвимостей сети
• Помощь в выполнении самооценки PCI DSS (SAQ), или
• Сертификационный QSA-аудит соответствия PCI DSS