Аудит безопасности платежных систем по стандарту PCI DSS
![]() |
О стандарте безопасности платежных системPayment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации, в частности:
|
Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный Уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.
С сентября 2006 года PCI DSS введен международной платежной системой VISA на территории региона EMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet должны пройти процедуру аудита на соответствие требованиям Стандарта.
Цели и критерии аудита
Целью аудита является проверка соответствия платежных систем Заказчика и поддерживающей их ИТ-инфраструктуры требованиям стандарта PCI DSS, определяющего следующие 6 областей контроля и 12 основных требований по безопасности:
1. Построение и сопровождение защищенной сети:
-
Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт
-
Требование 2: не использование выставленных по умолчанию производителями системных паролей и других параметров безопасности
2. Защита данных держателей карт:
-
Требование 3: обеспечение защиты данных держателей карт в ходе их хранения
-
Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети
3. Поддержка программы управления уязвимостями:
-
Требование 5: использование и регулярное обновление антивирусного программного обеспечения
-
Требование 6: разработка и поддержка защищенных систем и приложений
4. Реализация мер по строгому контролю доступа:
-
Требование 7: разграничение доступа к данным по принципу служебной необходимости
-
Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру
-
Требование 9: ограничение физического доступа к данным держателей карт
5. Регулярный мониторинг и тестирование сети:
-
Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт
-
Требование 11: регулярное тестирование систем и процессов обеспечения безопасности
6. Поддержка политики информационной безопасности:
-
Требование 12: наличие и исполнение в организации политики информационной безопасности
Порядок проведения работ
Работы по аудиту на соответствие стандарту PCI DSS включают в себя три последовательных этапа:
1. Сбор исходных данных и анализ документации
- Получение от Заказчика схемы сети, организационно-распорядительных документов по обеспечению информационной безопасности и других необходимых документов
-
Проверка полноты и качества документов, оценка соответствия документов требованиям Стандарта
-
Интервьюирование специалистов Заказчика, заполнение и обработка анкеты для проверки выполнения требований Стандарта
- Подготовка Отчета о расхождениях с требованиями Стандарта
2. Анализ защищенности периметра и инфраструктуры корпоративной сети
-
Сканирование внешнего периметра корпоративной сети, исследование обнаруженных уязвимостей, анализ настроек сетевого оборудования
-
Анализ конфигурационных файлов маршрутизаторов, МЭ, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры
-
Сканирование ресурсов корпоративной сети изнутри
-
Анализ конфигурации серверов и рабочих станций корпоративной сети при помощи специализированных программных средств
-
Анализ и обобщение полученных результатов, выработка рекомендаций, подготовка, согласование и оформление отчетных документов
3. Проверка реализации требований Стандарта на объекте аудита
-
Проверка актуальности предоставленной схемы сети и других документов
-
Проверка выполнения требований внутренних организационно-распорядительных документов в организации
-
Проверка реализации требований стандарта в выбранных аудитором сегментах корпоративной сети Заказчика
-
Подготовка сводного отчета о результатах аудита, содержащего выводы о несоответствиях и рекомендации по их устранению
-
Согласование и презентация отчетных документов
Основные результаты работы
Основными результатами работы будут являться:
-
Формирование общественного мнения о честном имени и стабильном положении организации Заказчика на рынке и как следствие повышение доверия со стороны клиентов и партнеров
-
Снижение величины рисков информационной безопасности, связанных с компрометацией карточных платежных систем и разглашением конфиденциальной информации
-
Повышение осведомленности персонала организации Заказчика в вопросах обеспечения информационной безопасности платежных систем
Кроме того, проведение аудита позволит:
-
Получить структурированную информацию об информационной инфраструктуре и используемых в организации Заказчика средствах защиты информации
-
Оценить полноту и качество существующей организационно-распорядительной документации организации Заказчика в области информационной безопасности и получить рекомендации по ее совершенствованию
-
Идентифицировать и оценить существующие уязвимости информационной инфраструктуры организации Заказчика и получить рекомендации по их уменьшению или ликвидации
Для получения более подробной информации обращайтесь к нам
- по телефону: +7 (925) 203-95-11
- по e-mail: info@globaltrust.ru
- через web-форму