Приоритезированный подход к сертификации PCI DSS

Приоритезированный подход к сертификации PCI DSS

Также читайте статью “Сертификат PCI DSS”


PCI DSS – это стандарт, который содержит 12 разделов требований. Стандарт разработан таким образом, чтобы затронуть все аспекты информационной безопасности в любой компании.

PCI DSS – это набор лучших практических рекомендаций, существующих на данный момент времени, а выполнение этих рекомендаций  поможет защитить компанию от всевозможных атак хакеров и других преступников, промышляющих в киберпространстве.

Общее количество рекомендаций или требований, изложенных в стандарте, составляет 250 пунктов. Сразу выполнить все эти требования – это цель, которую довольно сложно достигнуть. Требования весьма разнообразны и затрагивают самые разные сферы компании:

  • внутренние бизнес-процессы;
  • политики и процедуры;
  • обучение и работа персонала;
  • различные ИТ-системы.

В процесс подготовки и прохождения сертификации  PCI DSS зачастую вовлекаются сразу несколько подразделений компании. В такой процесс включаются не только подразделения информационных технологий и службы защиты информации, но и отдел кадров, отдел внутренней физической безопасности, топ-менеджмент и другие бизнес-подразделения, которые взаимодействуют с клиентами и держателями платёжных карт.

Стандарт PCI DSS хорошо продуман и требует различных трансформаций внутри компании, поэтому очень редко процесс сертификации проходит быстро и гладко.

Понимая то, с какими трудностями столкнутся компании, Совет PCI DSS предложил поэтапный подход к внедрению требований стандарта. Он подразумевает разбитие всего набора требований на 6  ключевых этапов, которые необходимо пройти. Эти этапы лучше всего проходить последовательно. Они выстроены таким образом, что позволяют сконцентрироваться на самых критичных, с точки зрения безопасности, задачах.

Сами требования, относящиеся к этим  6 этапам, в стандарте  PCI DSS   не следуют друг за другом, они разбросаны среди всех остальных требований.

ВОЗНИКЛИ ВОПРОСЫ?

получите консультацию у наших экспертов абсолютно бесплатно

Связаться

Перечислим эти 6 этапов:

  • Удалить все критичные аутентификационные данные карт. Если данные карт необходимы для бизнеса, необходимо  хранить  эти данные как можно меньший период. Этот этап позволяет сконцентрироваться на защите от взлома ИТ-системы и избежать утечки карточных данных. Золотое правило данного этапа –  если данные вам не нужны, не храните их.
  • Необходимо обеспечить защиту информационных сетей и систем, а также подготовиться к отражению атак хакеров. Внедрение мер безопасности, входящих в этот этап, позволит обеспечить минимальный уровень защиты для вашей компании.
  • Защитить приложения, в которых обрабатываются карточные данные. Следует особое внимание уделить защите платёжных приложений. Сюда входят и веб-портал, и мобильные приложения, и программное обеспечение на рабочих местах менеджеров и операторов.
  • Обеспечить постоянный мониторинг доступа к системам. Это позволит своевременно выявить нарушения, как со стороны внешних хакеров, так и собственных сотрудников.
  • Надёжно защитить карточные данные, которые хранятся в компании. Выполнение этого этапа предполагает внедрение систем шифрования и управления криптографическими ключами. Ключи, используемые для формирования шифров очень важно корректно формировать, хранить, распределять, уничтожать и контролировать к ним доступ.
  • Этот этап направлен на контроль соответствия стандарту PCI DSS и внедрению в компании процессов, которые позволят предотвратить нарушения и невыполнения требований в дальнейшем. Сначала идёт внедрение требований, а потом постоянное следование им и выполнение этих требований.

Также читайте статью “Сертификат PCI DSS для турфирм”


Следование по этапам и есть приоритезированный или приоритетный  подход в сертификации по стандарту PCI DSS.

Последовательное выполнение и внедрение всего изложенного в этих 6-ти этапах  даёт сразу несколько преимуществ:

  • Готовый план действий по внедрению требований PCI DSS в компанию;
  • Имея план, проще планировать бюджет и другие необходимые ресурсы;
  • Использование приоритезированного подхода даёт возможность измерять прогресс всех трансформаций, необходимых для сертификации по стандарту PCI DSS.

Для прохождения всех этих 6-ти этапов Совет PCI DSS  сформировал необходимый шаблон отчёта.  Он прост в заполнении, понятен всем аудиторам и может использоваться для демонстрации степени выполнения стандарта PCI DSS.

В нашей практике были случаи, когда компания VISA запрашивала заполненный отчёт по приоритезированному подходу. Это служило своего рода доказательством того, что компания выполняет необходимые требования и делает все шаги для получения сертификата.

Такой подход к сертификации по стандарту  PCI DSS является самым эффективным. Поэтому наши специалисты всегда придерживаются его в выполняемых проектах.

Все наши клиенты после проведения предварительного аудита получают соответствующий отчёт и дорожную карту по приоритезированному подходу.


Также читайте статью “Сертификация PCI DSS в Украине”


ХОТИТЕ ЗАКАТЬ СЕРТИФИКАЦИЮ?

Узнайте как или задайте интересующий Вас вопрос нашим экспертам