dss Pci 1
certificare PCI DSS
În munca noastră se confruntă adesea cu întrebări de la clienți care este PCI DSS, când și de ce aveți nevoie pentru a trece această certificare. În cazul în care afacerea dvs. este legată de e-commerce (carduri de plată on-line, de lucru cu monedă electronică), trebuie să știți ce este PCI DSS.
1. Ce este certificarea PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) este proiectat pentru a asigura securitatea prelucrării, stocarea și transmiterea datelor privind titularul cardului în sistemele informatice ale companiilor care lucrează cu sistemele internaționale de plăți Visa, MasterCard și altele.
standardul PCI DSS prevede cerințe detaliate de securitate a informațiilor, împărțite în 12 secțiuni tematice:
- utilizarea firewall-uri;
- reguli de configurare a echipamentelor;
- protecția datelor stocate pe proprietarii de carduri de plată;
- aplicarea de protecție criptografică atunci când transmiterea datelor;
- agenți antivirali;
- dezvoltarea în condiții de siguranță și de susținere a aplicațiilor și sistemelor;
- gestionarea accesului utilizatorilor la date;
- de administrare a contului;
- securitatea fizică;
- monitorizarea protecției datelor;
- Sisteme de testare regulate;
- dezvoltarea și susținerea politicii de securitate a informațiilor.
2. Ce standardul PCI DSS a fost dezvoltat?
3. Pentru cine cerințele PCI DSS sunt obligatorii?
Cerințe PCI DSS se aplică organizațiilor care se ocupă de informații privind titularul cardului. În cazul în care organizația le păstrează, procesează sau transmite informații în termen de un an, cel puțin una dintr-o tranzacție cu cardul sau proprietarul unui card de plată, acesta trebuie să respecte cerințele PCI DSS. Exemple de astfel de organizații sunt întreprinderi comerciale și de servicii (comercianți cu amănuntul și servicii de e-commerce), precum și furnizorii de servicii asociate cu prelucrarea, stocarea și transmiterea datelor de card (centre de procesare, gateway-uri de plată, call-centre, de backup de stocare organizații mass-media de stocare, participarea la personalizarea cardului și m. p.). Sistemele de plăți internaționale impun organizațiilor care fac obiectul cerințelor standardului, inspectate în mod regulat pentru a îndeplini aceste cerințe.
PCI DSS în Ucraina
În general, acest standard se aplică tuturor organizațiilor care lucrează cu sisteme electronice de plată, indiferent de numărul de tranzacții. Cu toate acestea, Ucraina a mai mult de consultanță în natură, iar inițiativa provine de la producătorii de deciziile relevante. Între timp, PCI DSS este, de asemenea, puternic componenta de imagine suficient, pentru că este o dovadă a băncilor pasă de clienții lor și o modalitate de a spori loialitatea lor.
Face ATM-uri în afara domeniului de aplicare al PCI DSS?
Da, o parte din subsistemul ATM implicate în procesarea, stocarea și transmiterea datelor despre proprietarii de carduri de plată, incluse în domeniul de aplicare al PCI DSS.
4. Am nevoie de nici o bază tehnică pentru auditarea și certificarea PCIDSS? Există o legare a cerințelor PCI DSS la soluții specifice - hardware, software, tehnologie?
standardul PCI DSS nu conține cerințe pentru utilizarea versiunilor tehnice specifice soluții, modele, hardware și software. PCI DSS impune cerințe pentru organizarea proceselor de securitate a informațiilor, funcționalitatea, protecția bunurilor informaționale, configurațiile lor și aplicații configurarea.
5. Cât timp nu serviciul de certificare a PCI DSS?
timp de audit depinde de mărimea domeniului de aplicare al PCI DSS, precum și caracteristicile infrastructurii companiei. În medie, de audit la fața locului a companiei durează 3-5 zile (cu plecarea unui angajat la birou).
Cu toate acestea, în curs de pregătire pentru certificarea conformității cu PCI DSS trebuie să ia în considerare o serie de puncte importante.
Astfel, planul de audit și dezvoltare, având în vedere definiția limitelor proiectului, durează de la una până la patru luni. Cronologie pentru standardele de conformitate depind direct de deficiențele identificate, dezvoltarea infrastructurii IT și a volumului de muncă actual al sistemelor informatice ale instituțiilor financiare alte proiecte. Prin urmare, această procedură poate dura de la două luni la doi ani.
Cu toate acestea, principalele probleme în etapa auditului poate fi lipsa de documentare, reglementarea IT activități (acest lucru complică definirea limitelor proiectului și încetinește colectarea de informații), precum și un număr mare de software „samopisnogo“, ceea ce face dificilă legalizarea, lipsa documentelor în limbile rusă și ucraineană, lipsa șablon documentelor de politici de securitate (a dezvoltat propria lor foarte ușor), și o povară mare de organizare.
6. Cât de des ar trebui să fie auditate?
În conformitate cu sistemele de plăți programul internațional stabilit de validare conformitatea PCI DSS un număr de organizații trebuie să fie supuse unui audit anual. Programul de evaluare a conformității diferă de comercianți (comercianti) și furnizorii de servicii (furnizori de servicii).
audit anual trebuie să treacă întreprinderile comerciale și de servicii care efectuează mai mult de șase milioane de carduri de tranzacții pe an. În ceea ce privește furnizorii de servicii, sistemul internațional de plăți VISA necesită trecerea unui audit anual al tuturor centrelor de prelucrare, precum și furnizorii de servicii, de prelucrare a mai mult de 300.000 de tranzacții pe an, și MasterCard - toate centrele de prelucrare, precum și furnizorii de servicii care se ocupa mai mult de un milion de tranzacții pe an .
7. Care sunt beneficiile pentru client privind certificarea PCI DSS a rezultatelor?
Auditul conformității infrastructurii informaționale a companiei cerințele standardului QSA-auditor (auditor autorizat) va pregăti un raport corespunzător (ReportonCompliance), care conține informații detaliate cu privire la punerea în aplicare a fiecăreia dintre cerințele PCI DSS. Raportul privind rezultatele lucrărilor evaluează nivelul actual de conformitate cu standardul internațional de securitate Sistemul de Informații pentru clienți PCI DSS.
În cazul în care sistemul informatic al companiei este conform cu PCI DSS ca urmare a auditului de certificare, clientul primește un certificat de conformitate cu aprobarea de către PCI SSC (PCI Security Consiliul Standard).
8. Cine audit? Cum de a deveni auditor pentru PCI DSS?
Auditul pentru conformitatea cu cerințele PCI DSS au dreptul de a efectua compania cu statutul de QSA (evaluator calificat de securitate).
Conturi sunt de două stări:
Hraneste QSA (evaluator calificat de securitate) și ASV (autorizat de scanare furnizor)
QSA-auditor efectuează un audit al PCI DSS (audit anual pe site-ul companiei)
Scanările ASV-auditor. Scanarea este efectuată pentru companiile cu mai puține tranzacții (scanări trimestriale efectuate de către furnizorul de servicii autorizat (ASV))
Lista oficială a firmelor care au acest statut este indicat pe site-ul PCI SSC. Personalul companiei care are calitatea de QSA, ar trebui să lucreze certificate QSA-auditor.
Cum de a deveni un auditor al PCI DSS?
Este necesar să se ia cursuri în America și examene PCI SSC. Formarea poate avea loc și la distanță și să ia examenele după formare.
9. Care este diferența certificarea PCI DSS din PA-DSS?
Pentru securitatea cererilor de plată elaborate de Consiliul standard PA-DSS (cerere de plată de securitate a datelor Standard), care pe de o parte dezvoltarea reglementărilor privind Visa PABP (cerere de plată Cele mai bune practici), iar pe de altă parte - o adaptare a cerințelor PCI DSS pentru aplicațiile.
După începerea organizațiilor programe de certificare care gestionează datele posesorilor de carduri, prin PCI DSS, PCI SSC Consiliul de activități pentru a asigura siguranța industriei de plăți a primit dezvoltarea sa sub forma unor programe de start-up pentru a îmbunătăți securitatea cererilor de plată.
10. Do în auditori Ucraina PCI DSS?
Acolo. Dar un pic. În România, există mai multe dintre aceste auditori.
SBSB nu are dreptul de a efectua o certificare PCI DSS. Putem recomanda companiile afiliate care sunt angajate în acest sens.
11. Care este costul serviciilor de certificare pentru PCI DSS?
tarife clare nu există. Sunt preturi pentru ore-om, euro, volumul de muncă. Dar astăzi auditul de certificare nu este mai mică de 13.000 de euro.
În plus, trebuie plătit efectuarea identificarea și scanarea de vulnerabilități ale punctelor de acces wireless și un audit preliminar de conformitate (de la 2.500 de euro).