Баннер
  • Безопасность

  • Тесты и Аудит

  • ПО

  • PCI DSS

  • ISO27001

  • Планирование безопасности

    Наш подход к планированию и разработке стратегии безопасности ERP основан на оценке рисков, которым подвергается бизнес и принимает во внимание: Корпоративные требования...
    Читать дальше...
  • Корпоративная Безопасность

  • CODEFEND

    Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых...
    Читать дальше...
  • Тест на проникновение

  • Анализ кода

  • Ping Identity

    Решение для идентификации и SSO c низкой стоимостью владения. Это инновационное решение может поставляться как облачный сервис (on-Demand) и как решение для интеграции в...
    Читать дальше...
  • Сервис Panaya для SAP ERP

  • Retalix

  • Требования PCI DSS

  • ISO 27001

    Информация зачастую является ключевым активом компании, а ее защита - приоритетной задачей. Получение сертификации по стандарту ISO 27001 позволит сохранить и защитить...
    Читать дальше...
Developed by JoomVision.com

Подготовка к сертификации по PCI DSS

PDFПечатьE-mail

Предварительный аудит информационной системы на соответствие требованиям международного стандарта защиты информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standrad) позволяет выявить все несоответствия требованиям стандарта и устранить их согласно разработанным рекомендациям.

  • Этапы подготовки к сертификации по PCI DSS
  • Применяемые методики
  • Тест на проникновение
  • Результаты подготовки к сертификации по PCI DSS
  • Оформить заказ
  • Скачать стандарт PCI DSS на русском языке


Этапы подготовки к сертификации по PCI DSS
Выполнение работ по подготовке к сертификации на соответствие требованиям стандарта PCI DSS выполняется в три этапа.
На первом этапе производятся:

  • Анализ, систематизация и уточнение полученных от Заказчика исходных данных о компонентах информационной системы, в которых хранится или обрабатывается критичная информация о платежных картах.
  • Анализ нормативно-распорядительной документации по информационной безопасности (политик, регламентов и инструкций), необходимой в соответствии с требованиями стандарта PCI DSS.
  • Анализ топологии сети, состава и характеристик аппаратных и программных средств передачи информации.
  • Анализ характера внутренних и внешних связей информационной системы, информационных потоков и принципов обработки критичной информации о платежных картах в информационной системе.
  • Определение и утверждение области применения стандарта (области сертификации) на основании результатов работы по предыдущим пунктам.

На втором этапе подготовки к сертификации по PCI DSS производятся:

  • Оценка соответствия информационной системы Заказчика требованиям стандарта PCI DSS.
  • Подготовка отчета о результатах предварительного аудита.

На третьем этапе подготовки к сертификации по PCI DSS производятся:

  • Выработка предложений и рекомендаций по устранению выявленных несоответствий требованиям стандарта PCI DSS.
  • Консультационные услуги по внедрению новых или доработке существующих компонентов информационной системы с целью соответствия требованиям стандарта PCI DSS.


Применяемые методики
В процессе подготовки к сертификации по стандарту PCI DSS применяется методика «Анализ выполнения мер и требований стандарта PCI DSS согласно процедуре аудита PCI DSS Security Audit Procedure».
Методика включает в себя анализ предоставленной информации и проверку выполнения на практике требований стандарта PCI DSS, осуществляемую при помощи инструментальных средств аудита и интервьюирования должностных лиц. Предварительный аудит включает в себя:

  • Анализ схемы корпоративной сети, принципов сегментации и разделения информационных потоков.
  • Анализ конфигурации межсетевых экранов, корректности и актуальности списков контроля доступа.
  • Проверку наличия беспроводных сетей стандарта 802.11X и анализ их защищенности.
  • Анализ используемых сетевых протоколов с точки зрения безопасности.
  • Анализ принятых в информационной системе политик безопасности (политики контроля доступа, парольной политики, политики физической безопасности и т.д.).
  • Анализ принципов и технологий обработки критичной информации о платежных картах.
  • Проверку наличия процедуры своевременного обновления системных компонентов и антивирусного ПО на серверах и рабочих станциях.
  • Проверку наличия механизмов регулярного мониторинга сети и информационных ресурсов.

Итоговый вывод о соответствии информационной системы Заказчика требованиям стандарта PCI DSS делается в случае подтверждения реализации на практике всех требований стандарта. Под этим понимается прямое выполнение требований стандарта PCI DSS или наличие альтернативных адекватных мер, компенсирующих частичное выполнение тех или иных требований.

Тест на проникновение
Согласно требованию стандарта PCI DSS, в компании минимум раз в год должен проводиться тест на проникновение. Под тестом на проникновение понимается проведение атак на сетевом уровне и на уровне приложений как на все публично доступные сервисы компании из сети Интернет (т.н. «внешний тест на проникновение») так и на внутренние ресурсы, входящие в область аудита (т.н. внутренний активный аудит защищенности). Тест на проникновение не должен ограничиваться сканированием сети различными сканерами безопасности – это отдельно подчеркивается специалистами PCI SSC.
Более подробную информацию о проведении теста на проникновение в рамках требований стандарта PCI DSS специалистами Digital Security вы можете получить в разделе Тест на проникновение.

Результаты работ
В результате вы получаете детальный отчет, содержащий оценку соответствия информационной системы компании требованиям международного стандарта защиты информации в индустрии платежных карт PCI DSS по результатам предварительного аудита. В случае если какое-либо требование стандарта не выполнено, приводится развернутое детальное описание выявленного несоответствия и рекомендации по его устранению, внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности с целью соответствия требованиям стандарта PCI DSS.

Joomla! Template design and develop by JoomVision

Случайная новость

Антикоррупционный закон

С 1 июля текущего года вводится в действие закон, выстраданный в пятилетних законотворческих муках, призванный стать основным орудием противодействия коррупции.

По мнению многих специалистов, принятый закон намного лучше предыдущих. С одной стороны, он значительно жестче, нежели редакция закона о коррупции, действующая до нового года, а с другой — в нем отсутствуют многие острые углы, перегибы трех антикоррупционных законов, отмененных Верховной Радой в начале этого года. Вместе с тем, для многих директоров частных юридических лиц может стать новостью то, что с 1 июля текущего года они несут юридическую ответственность за оказание неправомерного содействия физическим и юридическим лицам в осуществлении ими хозяйственной деятельности, получении субсидий, субвенций, дотаций, кредитов, льгот, заключении контрактов, неправомерное содействие назначению лица на должность, неправомерное вмешательство в деятельность органов государственной власти, местного самоуправления или должностных лиц, и наконец, за предоставление неправомерных преимуществ физическим или юридическим лицам в связи с подготовкой проектов, утверждением (согласованием) заключений. © Статья целиком