Оценка соответствия / Приведение в соответствие с PCI DSS, PCI 3DS, PCI PIN Security

Международный стандарт PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) определяет требования к обеспечению безопасности данных о держателях карт и другой информации, относящейся к карточным данным, при их обработке в автоматизированных системах Компании.

Требования стандарта PCI DSS распространяются на банки, торгово-сервисные предприятия, поставщиков технологических услуг и другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платежных карт, т. е. организации, работающие с международными платёжными системами VISA, MasterCard, American Express, JCB и Discover.

В настоящее время Национальная Система Платежных Карт (НСПК) также требует от участников платежной системы «МИР» соответствия требованиям стандартов PCI DSS.

Для выполнения аудита Компании должны привлекать стороннюю организацию, имеющую статус Qualified Security Assessor (QSA).

«ДиалогНаука» обладает необходимым статусом QSA и оказывает полный комплекс услуг по проведению QSA аудита, а также по внедрению требований соответствующих платежных систем и PCI DSS, что позволяет значительно сократить финансовые и ресурсные затраты на создание системы защиты данных о держателях платёжных карт.

«ДиалогНаука» имеет аккредитацию Approved Scanning Vendor (ASV), которая позволяет проводить ASV сканирования уязвимостей в соответствии с требованиями стандарта PCI DSS.

Компания также имеет статус 3DS Assessor и аккредитована PCI SSC для проведения аудитов участников платежного процесса, использующего банковские карты, защищенные с помощью технологии 3-D Secure (PCI 3DS), на соответствие требованиям стандарта PCI 3DS Core Security Standard.

Кроме этого «ДиалогНаука» имеет статус Qualified PIN Assessor (QPA) для проведения сертификационных аудитов соответствия требованиям стандарта PCI PIN Security.

Требования по обеспечению безопасности разбиты на следующие основные направления:

• построение и обслуживание защищенной сети;

• защита данных о держателях карт;

• управление уязвимостями;

• управление доступом (внедрение строгих мер контроля доступа);

• мониторинг и тестирование сетей;

• поддержка политики информационной безопасности.

Работы по проведению аудита на соответствие требованиям данного стандарта позволяют Компании выявить несоответствия требованиям и повысить текущий уровень обеспечения безопасности карточных данных.

Комплексный проект по приведению Компании в соответствие требованиям PCI DSS состоит из следующих основных этапов:

• Обследование и анализ соответствия требованиям международного стандарта PCI DSS, в том числе определение / уточнение области применимости PCI DSS.

• Внедрение требований стандарта: внедрение процессов обеспечения безопасности данных о держателях платежных карт и системы защиты (технических средств обеспечения безопасности данных о держателях платежных карт).

• Проведение тестирования на проникновение и ASV сканирования.

• Выполнение самооценки или проведение сертификационного аудита.

Компания «ДиалогНаука» располагает штатом высококвалифицированных консультантов в сфере PCI DSS, которые смогут подобрать наиболее удобные формы предоставления услуг и оптимальный состав работ, исходя из индивидуальных особенностей организации, работающей с международными платёжными системами, а также из соображений экономичности и эффективности проекта в целом.