Докладніше про вісім кроків для сертифікації PCI DSS

Докладніше про вісім кроків для сертифікації PCI DSS

Також читайте статтю “Сертифікат PCI DSS”


У нашу компанію постійно звертаються представники банків, роздрібних торгових мереж, туристичних фірм та інших підприємств з проханням допомогти їм пройти сертифікацію на відповідність стандарту PCI DSS. Природно, що у наших клієнтів виникає безліч найрізноманітніших питань.

Фахівці нашої компанії вирішили розробити покрокову інструкцію, завдяки якій, будь-який клієнт отримає інформацію про те, що потрібно зробити його компанії для успішного отримання сертифіката PCI DSS.

Не буде зайвим ще раз згадати, що таке стандарт PCI DSS і навіщо він потрібен.

Стандарт PCI DSS – це сукупність вимог щодо забезпечення безпеки даних власників платіжних карт, які зберігаються, передаються та/або обробляються в інформаційній інфраструктурі організацій.

Payment Card Industry Data Security Standard (PCI DSS) розроблений Радою стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як Visa, MasterCard, American Express, JCB і Discover.

Основне завдання стандарту PCI DSS – це забезпечення безпеки мережевої інфраструктури і захист даних власників платіжних карток. За цими даними полюють зловмисники з метою розкрадання грошових коштів. Саме тому стандарт PCI DSS концентрується на забезпеченні конфіденційності карткових даних.

Вимоги стандарту PCI DSS розповсюджуються на торгові підприємства, банки, постачальників всіляких послуг та сервісів, роздрібні магазини, саll-центри, платіжні шлюзи та на інші підприємства та організації, діяльність яких пов’язана з обробкою, передачею та/або зберіганням даних про власників платіжних карток.

Що таке сертифікація на відповідність стандарту PCI DSS ми з’ясували. Настав час визначити, які конкретні кроки потрібно пройти, щоб отримати цей сертифікат.

Крок 1 – Анкета:

Необхідно заповнити попередню анкету для вибору і оцінки процедури проходження сертифікації. Це допомагає фахівцям нашої компанії зрозуміти, що саме вам потрібно, а також оцінити вартість сертифікації.

Всіх наших клієнтів цікавить вартість сертифіката і терміни його отримання.

Заповнення анкети – це перший і дуже важливий крок. Заповнення анкети спрощує визначення термінів та суми, необхідних для успішного отримання сертифіката PCI DSS.

Де ж взяти цю анкету і як її заповнити?

Анкету ви можете отримати на e-mail, як і задати питання нашим експертам, для цього натисніть на кнопку праворуч.

Якщо в ході телефонної розмови не вдасться заповнити анкету, тоді наш консультант приїде до вас в офіс. Він роз’яснить всі нюанси і застереже від всіх негативних наслідків.

Виклик консультанта в ваш офіс здійснюється абсолютно безкоштовно. Наша компанія робить все можливе для того, щоб заощадити ваші кошти та час.

Результат першого кроку – обрана процедура проходження сертифікації на стандарт PCI DSS, остаточна ціна, етапи та терміни виконання.

ХОЧЕТЕ ОТРИМАТИ АНКЕТУ АБО ВИЗНАЧИТИ ВАРТІСТЬ СЕРТИФІКАЦІЇ ДЛЯ ВАШОЇ КОМПАНІЇ? наші експерти із задоволенням допоможуть вам це зробити

Зв'язатися

Крок 2 – Договір:

Для проходження сертифікації на відповідність вимогам стандарту PCI DSS необхідно підписати Договір між вашою компанією та компанією “IT-Спеціаліст”.

Після підписання Договору вам необхідно зробити попередню оплату у розмірі 50% від загальної суми на розрахунковий рахунок компанії “IT-Спеціаліст”.

Крок 3 – Технічний аналіз:

Фахівці і технічні експерти проводять попередній технічний аналіз.

Що це означає?

Технічний аналіз включає в себе багато різних дій. Про це варто розповісти докладніше:

  • В рамках технічного аналізу перевіряють і аналізують наявну технічну і нормативну документацію, наявність якої, вимагає стандарт PCI DSS. Робота з документацією відбувається як в паперовому, так і в електронному вигляді.
  • Проводиться індивідуальна бесіда з технічними фахівцями вашої компанії, системними адміністраторами або розробниками програмного забезпечення. Це потрібно для того, щоб з’ясувати всі технічні нюанси і проаналізувати, наскільки ваша компанія слідкує і відповідає всім вимогам стандарту PCI DSS.
  • Проводиться огляд приміщення, технічного обладнання та безпосередньо сам процес поводження з платіжними картами.
  • Проводиться діагностика стану захищеності інформаційних систем вашої компанії. Це робиться за допомогою програмних і технічних інструментів, а також за допомогою спеціалізованих сканерів вразливостей.

Така діагностика потрібна не всім компаніям. Чи необхідно саме вашої компанії пройти діагностику, ви дізнаєтеся ще на етапі заповнення анкети.

В результаті ви отримуєте докладний звіт. Цей звіт містить в собі перелік невідповідностей вимогам стандарту PCI DSS. Також в звіті будуть надані рекомендації щодо їх усунення.

Крок 4 – Усунення невідповідностей:

Усунення всіх невідповідностей, зазначених у звіті. Це відбувається в тісній співпраці фахівців вашої та нашої компаній. Для зручності проходження цього етапу буде розроблено гнучкий графік взаємного співробітництва.

Крок 5 – Сертифікаційний аудит:

На даному етапі відбувається підсумкова перевірка або сертифікаційний аудит. По суті, це остаточна перевірка на відповідність усім вимогам стандарту PCI DSS.

За результатами цієї перевірки ваша компанія отримує детальний звіт в електронному вигляді та атестат, що підтверджує відповідність всім вимогам стандарту PCI DSS.

Крок 6 – Оплата:

Відбувається офіційне оформлення вашого сертифіката PCI DSS уповноваженим аудитором. Ваша компанія оплачує решту 50% від загальної суми, зазначеної в Договорі.

Крок 7 – Видача сертифіката відповідності PCI DSS:

Ви отримуєте сертифікат на відповідність стандарту PCI DSS в паперовому вигляді з мокрими печатками і підписами. Сертифікат можна отримати в нашому офісі, або він буде доставлений в ваш офіс кур’єрською службою.

Крок 8 – Подальша співпраця:

Ваш сертифікат PCI DSS діє 12 місяців. Через 10 місяців, тобто за 2 місяці до закінчення терміну дії, вам необхідно звернутися в нашу компанію для продовження вашого сертифіката PCI DSS на наступний рік. При повторному зверненні процедура проходження спрощується. А вартість послуг компанії значно зменшується.

Ось основні кроки, які необхідно пройти для сертифікації на стандарт PCI DSS.

Давайте ще раз перерахуємо всі вісім кроків, які необхідно зробити для отримання сертифіката PCI DSS:

Крок 1 – Анкета;

Крок 2 – Договір;

Крок 3 – Технічний аналіз;

Крок 4 – Усунення невідповідностей;

Крок 5 – Сертифікаційний аудит;

Крок 6 – Оплата;

Крок 7 – Видача сертифіката відповідності PCI DSS;

Крок 8 – Подальша співпраця.


Також читайте статтю “Сертифікація PCI DSS в Україні”


Автори статті:
Олександр Куберський, Анатолій Журавльов.

Компанія “ІТ-Спеціаліст” – G+

БАЖАЄТЕ ЗАМОВИТИ СЕРТИФІАЦІЮ ЧИ ЗАДАТИ ПИТАННЯ?

Отримайте безкоштовну консультацію у наших експертів