Сертификация PCI DSS — особенности

Акроним PCI DSS расшифровывается как «Стандарт безопасности данных платежных карт», стандарт безопасности данных для индустрии платежных карт. Стандарт PCI DSS compliance-control.ua/pcidss.html— это документ, определяющий требования к поставщикам услуг и мерчантам по обеспечению безопасности обращения карт. Первая версия стандарта появилась в январе 2005 года. На сегодняшний день актуальна третья редакция стандарта (полный текст на английском языке здесь, на русском здесь) и она содержит 241 требование, разбитое на 12 частей.

Программа сертификации PCI DSS организации зависит от ее роли в процессе оплаты и объема обрабатываемых данных о держателях карт. Например, рассмотрите сертификацию поставщиков услуг, включая банки, платежные шлюзы и центры обработки данных. Поскольку ежегодно обрабатывается более 300 000 транзакций с карточными данными, такие организации должны проходить ежегодные сертификационные аудиты QSA и выполнять автоматизированное сканирование уязвимостей сети ASV. Для меньшего количества транзакций достаточно заполнить Анкету самооценки (SAQ) и выполнить сканирование ASV.
Однако, как бы ни подтверждалось соответствие, требования стандарта должны полностью выполняться в сегменте сети, отведенном под платежную инфраструктуру. Для решения этого вопроса мы предлагаем специальный комплекс консультационных услуг с целью внедрения PCI DSS в организациях и последующей сертификации по стандарту.

Внедрение PCI DSS: этапы

Согласно официальным документам, процесс внедрения PCI DSS делится на следующие этапы:

  1. Анализ исходного уровня соответствия;
  2. достичь необходимого уровня соответствия;
  3. подтверждение соответствия;
  4. Поддержка соответствия.

Рассмотрим подробнее реализацию PCI DSS. Проведение аудитов для оценки соответствия. Выполняется сторонней организацией со специальной сертификацией PCI SSC. В качестве аудиторов мы привлекаем немецкую компанию SRC Security Research and Consulting GmbH.

Процедуры аудита включают в себя опрос сотрудников организации-заказчика, исследование информационных систем, исследование и анализ внутренних нормативных документов. Результатом этого этапа является определение объема требований PCI DSS в информационной инфраструктуре клиента.
После определения области применения и сбора всей необходимой информации разрабатываются рекомендации по внедрению PCI DSS.

На основании этих рекомендаций в информационную инфраструктуру внесены конкретные изменения: модернизируется оборудование, дорабатывается программное обеспечение, внедряются системы защиты информации, разрабатывается необходимая документация.

Следующим шагом является специализированный аудит. После успешного завершения аудита будет составлен отчет о соответствии. Заказчик также заполнил Анкету самооценки (SAQ). Формат этого документа зависит от специфики обработки карточных данных в организации.

Процесс сертификации не заканчивается получением необходимых документов. Соответствие должно регулярно проверяться. Поставщики услуг (в том числе дата-центры) обязаны ежегодно и ежеквартально заполнять формы самооценки для проведения так называемого ASV-сканирования — автоматической проверки информационных структур на наличие уязвимостей во всех точках подключения к сети Интернет.