24.11.2006

Компания АйТи является первой и единственной компаний в СНГ, аккредитованной на проведение аудита по PCI DSS. АйТи имеет статус SDP Approved Scanning Vendor (сертификационный номер 4067-01-01) и является партнером MasterCard в области тестирования систем безопасности процессинговых центров, работающих в рамках международных платежных систем MasterCard, Visa и других.
Крупнейшими международными платежными системами MasterCard Worldwide и Visa International в 2005 году принят универсальный стандарт по обеспечению безопасности данных – Payment Card Industry Data Security Standard (PCI DSS). Стандарт был принят с целью обеспечить защиту информации электронных и платежных систем в свете участившихся случаев масштабных хищений информации о кредитных картах и их владельцах. Он содержит ряд требований, которым должны следовать кредитно-финансовые организации, процессинговые центры и любые компании, использующие данные пластиковых карт этих платежных систем. На сегодняшний день стандарт поддерживают также American Express, Discover/Novus, Diners Club, JCB.
Стандарт PCI устанавливает ряд правил и требований в следующих областях:
- структура и поддержка безопасности сети:
- наличие межсетевого экрана для защиты данных с соответствующими настройками
- запрет на использование стандартных (установленных производителем) параметров безопасности и системных паролей
- защита данных о кредитных картах:
- защищенность хранимых данных
- шифрование данных о платежных картах и другой важной информации, передаваемой по общедоступным сетям
- поддержка программы управления уязвимостями:
- использование и регулярное обновление антивирусного программного обеспечения
- разработка и поддержка безопасности информационной системы и приложений
- внедрение и использование мероприятий по контролю доступа:
- распределенный доступ к данным согласно функциональным обязанностям
- назначение уникального идентификационного кода для каждого пользователя
- ограничение физического доступа к данным платежных карт
- регулярный мониторинг и тестирование безопасности сети:
- мониторинг всех сеансов доступа к ресурсам сети и к данным платежных карт
- регулярное тестирование безопасности информационной системы и ведение журналов средств информационной безопасности
- поддержка политики информационной безопасности:
- наличие и выполнение политики информационной безопасности компании
Согласно установленным требованиям Visa и MasterCard оценка соответствия информационной системы стандарту PCI DSS должна проводиться специально аккредитованными организациями, которые отвечают целому набору условий, включая опыт работы в области безопасности платежных карт и наличие специалистов необходимого уровня.
Аудит по стандарту PCI DSS состоит из нескольких этапов:
Этап 1. Внутренний аудит, проводимый компаниями самостоятельно согласно рекомендуемым анкетам.
Этап 2. Удаленное сканирование инфраструктуры компании, доступной из сети Интернет. Должно проводиться компаниями, аккредитованными MasterCard, в соответствии с имеющимися требованиями.
Этап 3. Внешний аудит на соответствие стандарту (проверка на территории заказчика). Рекомендуется проводить ежегодно, привлекая аккредитованные Visa компании.
Компания АйТи предлагает процессинговым центрам и кредитно-финансовым учреждениям комплексную услугу, предусматривающую выполнение всех требований MasterCard и Visa:
- удаленное сканирование информационной инфраструктуры, доступ к которой может быть получен из сети общего пользования Интернет, согласно требованиям стандарта PCI DSS
- подготовка отчета и рекомендаций по приведению системы информационной безопасности в соответствие с требованиями стандарта PCI DSS
- разработка организационно-распорядительной документации и модернизация системы защиты информации в соответствии с рекомендациями
- подготовка информационной системы к проведению внешнего аудита по стандарту PCI DSS (on-site проверка). Рекомендуется проводить ежегодно
- дальнейшее сопровождение информационной системы, включающее периодическое проведение аудита информационной безопасности и модернизацию (доработку) информационной системы в соответствии с выявленными проблемами защищенности
В результате проведения вышеуказанных работ и реализации рекомендаций специалистов оценивающей компании заказчик подтверждает соответствие своей информационной системы требованиям стандарта PCI DSS (в части внешнего тестирования) и получает гарантию прохождения организационного аудита на соответствие требованиям PCI DSS.
Сертификация информационной системы по стандарту PCI DSS обеспечивает компании следующие преимущества:
- повышение уровня защищенности информационной системы вследствие ликвидации имеющихся уязвимостей или понижения степени их влияния
- рост доверия клиентов, партнеров и инвесторов к компании
- повышение своего уровня в различных международных рейтингах
- увеличение количества клиентов и расширение бизнеса за счет формирования положительного имиджа компании
- готовность к выполнению требований по безопасности платежных систем Visa и MasterCard, устанавливаемых для всех участников этих платежных систем