Сертификация стандарту PCI DSS: подготовка и проведение аудита | Law&Trust International

Каждая компания, работающая с платёжными картами обязана сделать все возможное, чтобы не допустить потери пользовательских данных при совершении транзакций, иными словами соответствие стандарту PCI DSS. Это одно из ключевых условий работы с ведущими мировыми операторами платежей, организовывающих поддержку всей PCI DSS.

Payment Card Industry Data Security Standard - это специальный документ, в котором прописаны правила по хранению, передаче и управлению пользовательскими данными в базах предприятия.

PCI DSS создан для того, чтобы повысить уровень безопасности инфраструктуры баз пользовательских данных.

Стандарт состоит из 12 правил, которые разделены на шесть категорий:

  1. Формирование, обслуживание и управление защищенным пространством и хранилищами информации;
  2. Защита банковских карт;
  3. Контроль над уязвимостями и своевременным их устранением;
  4. Определение жестких параметров контроля доступом;
  5. Проверка и отслеживание состояния систем;
  6. Соблюдение требований безопасности данных.

Все положения PCI DSS обязательные к выполнению.

Однако, существуют нормы, которые невозможно реализовать в компаниях некоторых типов из-за отсутствия соответствующих компонентов . Одним из примеров могут быть отсутствие беспроводных сетей. В таком случае, к компании не применяется требование «обеспечить защиту беспроводной связи». При возникновении подобных моментов допускается использование компенсирующих мер, позволяющие минимизировать риски уязвимостей.

Резюмируя, PCI DSS регламентирует современные требования к безопасности пользовательской информации.

Платёжные сервисы установили отдельные требования по сертификации для различных организаций.

  • Торгово-сервисные компании (merchants) - компании обязаны проходить ежегодный аудит PCI DSS. Это обязаны делать компании, проводящих более 6 млн финансовых операций за 12 месяцев;
  • Поставщики услуг (service providers) - требования к таким организациям у различных операторов платежей отличаются. К примеру, лимит транзакций у провайдера VISA для проведения ежегодного аудита составляет 300 тысяч финансовых операций ежегодно. У MasterCard требования более лояльные – обязательный аудит PCI DSS проводится при условии обработки от 1 млн финансовых операций за 12 месяцев;

Платёжные системы вправе применить санкции по отношению к компаниям, которые должны проходить ежегодный аудит PCI DSS, но уклоняются от обязанности. Не стоит забывать о том, что аудит PCI DSS уполномочены выполнять только специалисты, получившие статус QSA (Qualified Security Assessor), в штате которых есть QSA-аудиторы.

В среднем PCI DSS аудит компании занимает порядка 3-х дней. Результатом работы QSA-аудитора является специальный отчет, так называемый Report on Compliance, в котором эксперт подробно расписывает соответствие или несоответствие юридического лица нормама PCI DSS по каждому пункту.

По итогам работы возможны два варианта развития событий:

  1. Если специалист обнаружил серьезные расхождения с требованиями по защите пользователей, готовится План по устранению недочетов;
  2. Если QSA-аудитор не выявил нарушений выдаётся Сертификат соответствия требованиям стандарта PCI DSS;

Организации, сотрудничающие с ведущими операторами платежей обязаны проводить сканирование внешнего периметра платёжных сервисов. Эта операция проводится раз в 3 месяца, и считается важнейшей частью аудита на соответствие стандарту PCI DSS.

Специалисты компании Law&Trust International помогут вам выполнить все требования PCI DSS, что позволит повысить степень защищенности пользовательской информации. С нашими услугами вы сможете минимизировать риски связанные с информационной безопасностью. При этом Ваша компания поможет вам внедрить решения, которые обеспечат необходимую защиту и позволят сотрудничать с ведущими операторами платежей.

Услуги по PCI DSS аудиту. Екатерина Озерова.
Услуги по PCI DSS аудиту. Екатерина Озерова.

Наши клиенты

Наша команда

Татьяна Клименко
Старший юрист
Екатерина Богатова
Юрист
Екатерина Озерова
Старший юрист
Александр Шушин
Юрист
Виктория Пустовойт
Юрист
Светлана Артеменко
Юрист
Анастасия Алексеева
Юрист
Виктория Железова
Директор филиала, HR
Подробнее
Дарья Гриб
Oфис менеджер
Подробнее

Есть вопросы?