In English

Компания АйТи предлагает новую услугу по оценке соответствия требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)

24.11.2006

Компания АйТи предлагает новую услугу по оценке соответствия требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)
Компания АйТи является первой и единственной компаний в СНГ, аккредитованной на проведение аудита по PCI DSS. АйТи имеет статус SDP Approved Scanning Vendor (сертификационный номер 4067-01-01) и является партнером MasterCard в области тестирования систем безопасности процессинговых центров, работающих в рамках международных платежных систем MasterCard, Visa и других.

Крупнейшими международными платежными системами MasterCard Worldwide и Visa International в 2005 году принят универсальный стандарт по обеспечению безопасности данных – Payment Card Industry Data Security Standard (PCI DSS). Стандарт был принят с целью обеспечить защиту информации электронных и платежных систем в свете участившихся случаев масштабных хищений информации о кредитных картах и их владельцах. Он содержит ряд требований, которым должны следовать кредитно-финансовые организации, процессинговые центры и любые компании, использующие данные пластиковых карт этих платежных систем. На сегодняшний день стандарт поддерживают также American Express, Discover/Novus, Diners Club, JCB.

Стандарт PCI устанавливает ряд правил и требований в следующих областях: 

  • структура и поддержка безопасности сети: 
    • наличие межсетевого экрана для защиты данных с соответствующими настройками
    • запрет на использование стандартных (установленных производителем) параметров безопасности и системных паролей
  • защита данных о кредитных картах:
    • защищенность хранимых данных
    • шифрование данных о платежных картах и другой важной информации, передаваемой по общедоступным сетям
  • поддержка программы управления уязвимостями:
    • использование и регулярное обновление антивирусного программного обеспечения
    • разработка и поддержка безопасности информационной системы и приложений
  • внедрение и использование мероприятий по контролю доступа:
    • распределенный доступ к данным согласно функциональным обязанностям
    • назначение уникального идентификационного кода для каждого пользователя
    • ограничение физического доступа к данным платежных карт
  • регулярный мониторинг и тестирование безопасности сети:
    • мониторинг всех сеансов доступа к ресурсам сети и к данным платежных карт
    • регулярное тестирование безопасности информационной системы и ведение журналов средств информационной безопасности
  • поддержка политики информационной безопасности:
    • наличие и выполнение политики информационной безопасности компании
Согласно установленным требованиям Visa и MasterCard оценка соответствия информационной системы стандарту PCI DSS должна проводиться специально аккредитованными организациями, которые отвечают целому набору условий, включая опыт работы в области безопасности платежных карт и наличие специалистов необходимого уровня.

Аудит по стандарту PCI DSS состоит из нескольких этапов:

Этап 1. Внутренний аудит, проводимый компаниями самостоятельно согласно рекомендуемым анкетам.

Этап 2. Удаленное сканирование инфраструктуры компании, доступной из сети Интернет. Должно проводиться компаниями, аккредитованными MasterCard, в соответствии с имеющимися требованиями.

Этап 3. Внешний аудит на соответствие стандарту (проверка на территории заказчика). Рекомендуется проводить ежегодно, привлекая аккредитованные Visa компании.

Компания АйТи предлагает процессинговым центрам и кредитно-финансовым учреждениям комплексную услугу, предусматривающую выполнение всех требований MasterCard и Visa:
  • удаленное сканирование информационной инфраструктуры, доступ к которой может быть получен из сети общего пользования Интернет, согласно требованиям стандарта PCI DSS
  • подготовка отчета и рекомендаций по приведению системы информационной безопасности в соответствие с требованиями стандарта PCI DSS
  • разработка организационно-распорядительной документации и модернизация системы защиты информации в соответствии с рекомендациями 
  • подготовка информационной системы к проведению внешнего аудита по стандарту PCI DSS (on-site проверка). Рекомендуется проводить ежегодно
  • дальнейшее сопровождение информационной системы, включающее периодическое проведение аудита информационной безопасности и модернизацию (доработку) информационной системы в соответствии с выявленными проблемами защищенности
В результате проведения вышеуказанных работ и реализации рекомендаций специалистов оценивающей компании заказчик подтверждает соответствие своей информационной системы требованиям стандарта PCI DSS (в части внешнего тестирования) и получает гарантию прохождения организационного аудита на соответствие требованиям PCI DSS.

Сертификация информационной системы по стандарту PCI DSS обеспечивает компании следующие преимущества:
  • повышение уровня защищенности информационной системы вследствие ликвидации имеющихся уязвимостей или понижения степени их влияния
  • рост доверия клиентов, партнеров и инвесторов к компании
  • повышение своего уровня в различных международных рейтингах
  • увеличение количества клиентов и расширение бизнеса за счет формирования положительного имиджа компании
  • готовность к выполнению требований по безопасности платежных систем Visa и MasterCard, устанавливаемых для всех участников этих платежных систем

Центральный федеральный округ