Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Услуги / Аудит и оценка рисков ИБ / Аудит безопасности платежных систем по стандарту PCI DSS

Аудит безопасности платежных систем по стандарту PCI DSS

Целью аудита является проверка соответствия платежных систем Заказчика и поддерживающей их ИТ-инфраструктуры требованиям стандарта PCI DSS, определяющего 6 областей контроля и 12 основных требований по безопасности.
PCI DSS

О стандарте безопасности платежных систем

Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации, в частности:

  • Visa Europe & other regions: Account Information Security (AIS)
  • Visa USA: Cardholder Information Security (CISP)
  • MasterCard: Site Data Protection (SDP)

Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный Уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года PCI DSS введен международной платежной системой VISA на территории региона EMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet должны пройти процедуру аудита на соответствие требованиям Стандарта.

Цели и критерии аудита

Целью аудита является проверка соответствия платежных систем Заказчика и поддерживающей их ИТ-инфраструктуры требованиям стандарта PCI DSS, определяющего следующие 6 областей контроля и 12 основных требований по безопасности:

1. Построение и сопровождение защищенной сети:

  • Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт
  • Требование 2: не использование выставленных по умолчанию производителями системных паролей и других параметров безопасности

2. Защита данных держателей карт:

  • Требование 3: обеспечение защиты данных держателей карт в ходе их хранения
  • Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети

3. Поддержка программы управления уязвимостями:

  • Требование 5: использование и регулярное обновление антивирусного программного обеспечения
  • Требование 6: разработка и поддержка защищенных систем и приложений

4. Реализация мер по строгому контролю доступа:

  • Требование 7: разграничение доступа к данным по принципу служебной необходимости
  • Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру
  • Требование 9: ограничение физического доступа к данным держателей карт

5. Регулярный мониторинг и тестирование сети:

  • Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт
  • Требование 11: регулярное тестирование систем и процессов обеспечения безопасности

6. Поддержка политики информационной безопасности:

  • Требование 12: наличие и исполнение в организации политики информационной безопасности

Порядок проведения работ

Работы по аудиту на соответствие стандарту PCI DSS включают в себя три последовательных этапа:

1. Сбор исходных данных и анализ документации

  • Получение от Заказчика схемы сети, организационно-распорядительных документов по обеспечению информационной безопасности и других необходимых документов
  • Проверка полноты и качества документов, оценка соответствия документов требованиям Стандарта
  • Интервьюирование специалистов Заказчика, заполнение и обработка анкеты для проверки выполнения требований Стандарта
  • Подготовка Отчета о расхождениях с требованиями Стандарта

2. Анализ защищенности периметра и инфраструктуры корпоративной сети

  • Сканирование внешнего периметра корпоративной сети, исследование обнаруженных уязвимостей, анализ настроек сетевого оборудования
  • Анализ конфигурационных файлов маршрутизаторов, МЭ, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры
  • Сканирование ресурсов корпоративной сети изнутри
  • Анализ конфигурации серверов и рабочих станций корпоративной сети при помощи специализированных программных средств
  • Анализ и обобщение полученных результатов, выработка рекомендаций, подготовка, согласование и оформление отчетных документов

3. Проверка реализации требований Стандарта на объекте аудита

  • Проверка актуальности предоставленной схемы сети и других документов
  • Проверка выполнения требований внутренних организационно-распорядительных документов в организации
  • Проверка реализации требований стандарта в выбранных аудитором сегментах корпоративной сети Заказчика
  • Подготовка сводного отчета о результатах аудита, содержащего выводы о несоответствиях и рекомендации по их устранению
  • Согласование и презентация отчетных документов

Основные результаты работы

Основными результатами работы будут являться:

  1. Формирование общественного мнения о честном имени и стабильном положении организации Заказчика на рынке и как следствие повышение доверия со стороны клиентов и партнеров
  2. Снижение  величины рисков информационной безопасности, связанных с компрометацией карточных платежных систем и разглашением конфиденциальной информации
  3. Повышение осведомленности персонала организации Заказчика в вопросах обеспечения информационной безопасности платежных систем

Кроме того, проведение аудита позволит:

  1. Получить структурированную информацию об информационной инфраструктуре и используемых в организации Заказчика средствах защиты информации
  2. Оценить полноту и качество существующей организационно-распорядительной документации организации Заказчика в области информационной безопасности и получить рекомендации по ее совершенствованию
  3. Идентифицировать и оценить существующие уязвимости информационной инфраструктуры организации Заказчика и получить рекомендации по их уменьшению или ликвидации

 

Для получения более подробной информации обращайтесь к нам