Проведение PCI DSS аудита

Каждая компания, работающая с платёжными картами обязана сделать все возможное, чтобы не допустить потери пользовательских данных при совершении транзакций, иными словами соответствие стандарту PCI DSS. Это одно из ключевых условий работы с ведущими мировыми операторами платежей, организовывающих поддержку всей PCI DSS.

Payment Card Industry Data Security Standard - это специальный документ, в котором прописаны правила по хранению, передаче и управлению пользовательскими данными в базах предприятия.

PCI DSS создан для того, чтобы повысить уровень безопасности инфраструктуры баз пользовательских данных.

Стандарт состоит из 12 правил, которые разделены на шесть категорий:

1. Формирование, обслуживание и управление защищенным пространством и хранилищами информации;
2. Защита банковских карт;
3. Контроль над уязвимостями и своевременным их устранением;
4. Определение жестких параметров контроля доступом;
5. Проверка и отслеживание состояния систем;
6. Соблюдение требований безопасности данных.

Все положения PCI DSS обязательные к выполнению.

Однако, существуют нормы, которые невозможно реализовать в компаниях некоторых типов из-за отсутствия соответствующих компонентов . Одним из примеров могут быть отсутствие беспроводных сетей. В таком случае, к компании не применяется требование «обеспечить защиту беспроводной связи». При возникновении подобных моментов допускается использование компенсирующих мер, позволяющие минимизировать риски уязвимостей.

Резюмируя, PCI DSS регламентирует современные требования к безопасности пользовательской информации.

Платёжные сервисы установили отдельные требования по сертификации для различных организаций.

• Торгово-сервисные компании (merchants) - компании обязаны проходить ежегодный аудит PCI DSS. Это обязаны делать компании, проводящих более 6 млн финансовых операций за 12 месяцев;
• Поставщики услуг (service providers) - требования к таким организациям у различных операторов платежей отличаются. К примеру, лимит транзакций у провайдера VISA для проведения ежегодного аудита составляет 300 тысяч финансовых операций ежегодно. У MasterCard требования более лояльные – обязательный аудит PCI DSS проводится при условии обработки от 1 млн финансовых операций за 12 месяцев;

Платёжные системы вправе применить санкции по отношению к компаниям, которые должны проходить ежегодный аудит PCI DSS, но уклоняются от обязанности. Не стоит забывать о том, что аудит PCI DSS уполномочены выполнять только специалисты, получившие статус QSA (Qualified Security Assessor), в штате которых есть QSA-аудиторы.

В среднем PCI DSS аудит компании занимает порядка 3-х дней. Результатом работы QSA-аудитора является специальный отчет, так называемый Report on Compliance, в котором эксперт подробно расписывает соответствие или несоответствие юридического лица нормама PCI DSS по каждому пункту.

По итогам работы возможны два варианта развития событий:

1. Если специалист обнаружил серьезные расхождения с требованиями по защите пользователей, готовится План по устранению недочетов;
2. Если QSA-аудитор не выявил нарушений выдаётся Сертификат соответствия требованиям стандарта PCI DSS;

Организации, сотрудничающие с ведущими операторами платежей обязаны проводить сканирование внешнего периметра платёжных сервисов. Эта операция проводится раз в 3 месяца, и считается важнейшей частью аудита на соответствие стандарту PCI DSS.

Специалисты компании Law&Trust International помогут вам выполнить все требования PCI DSS, что позволит повысить степень защищенности пользовательской информации. С нашими услугами вы сможете минимизировать риски связанные с информационной безопасностью. При этом Ваша компания поможет вам внедрить решения, которые обеспечат необходимую защиту и позволят сотрудничать с ведущими операторами платежей.