1a8l0rn0sv_cropped_1121

PCI DSS.

Сертификация PCI DSS

В своей деятельности мы часто сталкиваемся с вопросами от клиентов что такое PCI DSS, в каких случаях и для чего нужно проходить эту сертификацию. Если ваш бизнес связан с электронной коммерцией (оплата картами на сайте, работа с электронными деньгами) вам необходимо знать что же такое PCI DSS.

1. Что такое сертификация PCI DSS?

Стандарт PCI DSS (Payment Card Industry Data Security Standard) предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими.

Стандарт PCI DSS содержит детальные требования по обеспечению информационной безопасности, разбитые на 12 тематических разделов:

  • применение межсетевых экранов;
  • правила настройки оборудования;
  • защита хранимых данных о владельцах платежных карт;
  • применение криптографических средств защиты при передаче данных;
  • применение антивирусных средств;
  • безопасная разработка и поддержка приложений и систем;
  • управление доступом пользователей к данным;
  • управление учетными записями;
  • обеспечение физической безопасности;
  • мониторинг безопасности данных;
  • регулярное тестирование систем;
  • разработка и поддержка политики информационной безопасности.

2. Кем был разработан стандарт PCI DSS?

Стандарт PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). PCI SSC был основан ведущими международными платежными системами — Visa, MasterCard, American Express, JCB, Discover. Информацию о своей деятельности PCI SSC публикует на своем сайте https://www.pcisecuritystandards.org

3. Для кого требования стандарта PCI DSS являются обязательными?

Требования стандарта PCI DSS распространяются на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.). Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям.

PCI DSS в Украине

В целом, данный стандарт распространяется на все организации, работающие с электронными платежными системами, независимо от количества транзакций. Однако для Украины пока носит скорее рекомендательный характер, а основная инициатива исходит от производителей соответствующих решений. Между тем PCI DSS имеет еще и достаточно мощную имиджевую составляющую, поскольку является свидетельством заботы банков о своих клиентах и способом повышения их лояльности.

Входят ли банкоматы в область применения стандарта PCI DSS?

Да, отдельные подсистемы банкомата, участвующие в обработке, хранении и передаче данных о владельцах платежных карт, входят в область применения стандарта PCI DSS.

4. Нужна ли какая-то техническая база для проведения аудита и сертификации по PCIDSS? Есть ли привязка требований стандарта PCI DSS к конкретным решениям — оборудованию, программному обеспечению, технологиям?

Стандарт PCI DSS не содержит требований по использованию конкретных технических решений, моделей оборудования и версий программного обеспечения. PCI DSS предъявляет требования к организации процессов обеспечения информационной безопасности, функциональности средств защиты информации, их конфигурации и настройке приложений.

5. Сколько по времени занимает услуга сертификации по PCI DSS?

Время проведения аудита зависит от размера области применения стандарта PCI DSS, а также от особенностей инфраструктуры компании. В среднем аудит на объекте компании длится 3-5 дней (с выездом сотрудника в офис компании).

Однако, при подготовке к сертификации на соответствие PCI DSS необходимо принимать во внимание ряд важных моментов.

Так, аудит и разработка плана, учитывая определение границ проекта, занимает от одного до четырех месяцев. Сроки устранения несоответствий стандарту напрямую зависят от выявленных недостатков, развитости ИТ-инфраструктуры и текущей загрузки ИТ-систем финансового учреждения другими проектами. Поэтому на данную процедуру может потребоваться от двух месяцев до двух лет.

Основными же сложностями на этапе аудита может стать отсутствие документации, регламентирующей деятельность ИТ (это усложняет определение границ проекта и замедляет сбор информации), а также большое количество «самописного» ПО, что затрудняет его легализацию, недостаточное количество документации на русском и украинском языках, отсутствие шаблонов документов политик безопасности (разработать их самостоятельно очень непросто), а также большая организационная нагрузка.

6. Как часто нужно проходить аудит?

Согласно установленным международными платежными системами программам проверки соответствия требованиям PCI DSS ряду организаций необходимо проходить ежегодный аудит. Программы проверки соответствия различаются для торгово-сервисных предприятий (merchants) и поставщиков услуг (service providers).

Ежегодный аудит необходимо проходить торгово-сервисным предприятиям, проводящим более шести миллионов карточных транзакций в год. Касаемо поставщиков услуг, международная платежная система VISA требует прохождение ежегодного аудита от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более 300 000 транзакций в год, а MasterCard – от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более одного миллиона транзакций в год.

7. Что получает клиент по итогам сертификации по PCI DSS?

По результатам аудита соответствия информационной инфраструктуры компании требованиям стандарта QSA-аудитор (сертифицированный аудитор) подготовит Отчет о Соответствии (ReportonCompliance), содержащий детальную информацию о выполнении каждого из требований PCI DSS. В отчете по результатам работ приводится оценка соответствия текущего уровня защищенности информационной системы Заказчика международному стандарту PCI DSS.

Если информационная система компании соответствует стандарту PCI DSS по результатам сертификационного аудита, Заказчик получает сертификат соответствия после одобрения PCI SSC (PCI Security Standard Council).

8. Кто проводит аудит? Как стать аудитором по PCI DSS?

Аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании, имеющие статус QSA (Qualified Security Assessor).

Аудиторы бывают двух статусов:

Статусы QSA (Qualified Security Assessor) и ASV (Authorized Scanning Vendor)

QSA-аудитор выполняет аудит по PCI DSS (ежегодный аудит на объекте компании)

ASV-аудитор выполняет сканирование. Сканирование проводится для компаний с меньшими транзакциями (ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV))

Официальный перечень компаний, обладающих таким статусом, приведен на сайте PCI SSC. В штате компании, имеющей статус QSA, должны работать аттестованные QSA-аудиторы.

Как стать аудитором PCI DSS?

Необходимо пройти курсы в Америке в PCI SSC и сдать экзамены. Также можно обучение проходить дистанционно и сдать экзамены после обучения.

Программы и расписание обучения приведены на официальном сайте https://www.pcisecuritystandards.org

9. Чем отличаются сертификации PCI DSS от PA-DSS?

Для безопасности платежных приложений Советом был разработан стандарт PA-DSS (Payment Application Data Security Standard), являющийся с одной стороны развитием предписания Visa PABP (Payment Application Best Practices), а с другой стороны – адаптацией требований стандарта PCI DSS к приложениям.

После запуска программы сертификации организаций, обрабатывающих данные о держателях карт, по стандарту PCI DSS, деятельность Совета PCI SSC по обеспечению безопасности платежной индустрии получила своё развитие в виде запуска программы повышения безопасности платежных приложений.

Все платежные приложения, выпускающиеся на рынок, должны проходить сертификацию по стандарту PA-DSS, которую могут выполнить только компании, обладающие статусомPA-QSA. Международные платежные системы предписывают торгово-сервисным предприятиям и поставщикам услуг использовать только сертифицированные по стандарту PA-DSS приложения, перечень которых опубликован и регулярно обновляется Советом PCI SSC.

10. Есть ли в Украине аудиторы PCI DSS?

Есть. Но немного. В России есть больше таких аудиторов. 

SBSB не имеет право проводить сертификацию PCI DSS. Мы можем рекомендовать партнерские компании, которые занимаются этим.

11. Сколько стоит услуга сертификации по PCI DSS?

Четких тарифов не существует. Существуют цены на человеко-часы, курс евро, объем работ. Но сегодняшний день сертификационный аудит стоит не менее 13.000 EUR. 

Дополнительно будут оплачиваться проведение идентификации и сканирование на уязвимость беспроводных точек доступа и проведение предварительного аудита на соответствие (от 2,500 EUR).

Если у вас есть вопросы и/или нужна консультация, позвоните нам по телефонам, указанным на сайте, или заполните и отправьте нам форму, расположенную слева на странице сайта.

Наши специалисты свяжутся с вами в течение 24 часов.