Баннер
  • Безопасность

  • Тесты и Аудит

  • ПО

  • PCI DSS

  • ISO27001

  • Планирование безопасности

    Наш подход к планированию и разработке стратегии безопасности ERP основан на оценке рисков, которым подвергается бизнес и принимает во внимание: Корпоративные требования...
    Читать дальше...
  • Корпоративная Безопасность

  • CODEFEND

    Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых...
    Читать дальше...
  • Тест на проникновение

  • Анализ кода

  • Ping Identity

    Решение для идентификации и SSO c низкой стоимостью владения. Это инновационное решение может поставляться как облачный сервис (on-Demand) и как решение для интеграции в...
    Читать дальше...
  • Сервис Panaya для SAP ERP

  • Retalix

  • Требования PCI DSS

  • ISO 27001

    Информация зачастую является ключевым активом компании, а ее защита - приоритетной задачей. Получение сертификации по стандарту ISO 27001 позволит сохранить и защитить...
    Читать дальше...
Developed by JoomVision.com

Сертификационный QSA-аудит по PCI DSS

PDFПечатьE-mail

Сертификационный аудит информационной системы на соответствие международному стандарту защиты информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standrad) позволяет оценить соответствие уровня защищенности информационной системы компании требованиям стандарта PCI DSS. Сертификационный аудит могут проводить только сертифицированные PCI Security Standards Council компании, имеющие статус QSA1 (Qualified Security Assessor).

  • Этапы сертификационного аудита
  • Применяемые методики
  • Результаты сертификационного аудита на соответствие PCI DSS
  • Скачать стандарт PCI DSS на русском языке


Этапы сертификационного аудита
Выполнение работ по сертификационному аудиту информационной системы на соответствие требованиям стандарта PCI DSS выполняется в два этапа.
На первом этапе производится:

  • Анализ, систематизация и уточнение полученных от Заказчика исходных данных о компонентах информационной системы, в которых хранится или обрабатывается критичная информация о платежных картах.
  • Анализ нормативно-распорядительной документации по информационной безопасности (политик, регламентов и инструкций), необходимой в соответствии с требованиями стандарта PCI DSS.
  • Анализ топологии сети, состава и характеристик аппаратных и программных средств передачи информации.
  • Анализ характера внутренних и внешних связей информационной системы, информационных потоков и принципов обработки критичной информации о платежных картах в информационной системе.
  • Определение и утверждение области применения стандарта (области сертификации) на основании результатов работы по предыдущим пунктам.

На втором этапе производится:

  • Сертификационный аудит информационной системы Заказчика.
  • Подготовка отчета о результатах сертификационного аудита.

Применяемые методики
В процессе работы применяется методика «Анализ выполнения мер и требований стандарта PCI DSS согласно процедуре аудита PCI DSS Security Audit Procedure».
Методика включает в себя анализ предоставленной информации и проверку выполнения на практике требований стандарта PCI DSS, осуществляемую при помощи инструментальных средств аудита и интервьюирования должностных лиц. Проверка включает в себя:

  • Анализ схемы корпоративной сети, принципов сегментации и разделения информационных потоков.
  • Анализ конфигурации межсетевых экранов, корректности и актуальности списков контроля доступа.
  • Проверку наличия беспроводных сетей стандарта 802.11X и анализ их защищенности.
  • Анализ используемых сетевых протоколов с точки зрения безопасности.
  • Анализ принятых в информационной системе политик безопасности (политики контроля доступа, парольной политики, политики физической безопасности и т.д.).
  • Анализ принципов и технологий обработки критичной информации о платежных картах.
  • Проверку наличия процедуры своевременного обновления системных компонентов и антивирусного ПО на серверах и рабочих станциях.
  • Проверку наличия механизмов регулярного мониторинга сети и информационных ресурсов.

Итоговый вывод о соответствии информационной системы Заказчика требованиям стандарта PCI DSS делается в случае подтверждения реализации на практике всех требований стандарта. Под этим понимается прямое выполнение требований стандарта PCI DSS или наличие альтернативных адекватных мер, компенсирующих частичное выполнение тех или иных требований.
Результаты сертификационного аудита на соответствие PCI DSS
В отчете по результатам работ приводится оценка соответствия текущего уровня защищенности информационной системы Заказчика международному стандарту PCI DSS.
Если информационная система компании соответствует стандарту PCI DSS по результатам сертификационного аудита, Заказчик получает сертификат соответствия после одобрения PCI SSC (PCI Security Standard Council).

Joomla! Template design and develop by JoomVision

Случайная новость

В 63% организаций отсутствует архитектура системы безопасности
http://cnews.ru/

По данным отчета «Глобальное исследование информационной безопасности, 2012 год», опубликованного компанией «Эрнст энд Янг», для защиты от угроз, исходящих от существующих и новых технологий, организациям необходимо коренным образом изменить подход к обеспечению информационной безопасности. Всего в исследовании приняли участие более чем 1850 руководителей информационно-технологических подразделений и подразделений по обеспечению информационной безопасности, а также других руководящих работников … полный текст

Источник: CNews