Аудит безопасности платежных систем по стандарту PCI DSS

О стандарте безопасности платежных систем Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации, в частности: Visa Europe & other regions: Account Information Security (AIS) Visa USA: Cardholder Information Security (CISP) MasterCard: Site Data Protection (SDP)

Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный Уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года PCI DSS введен международной платежной системой VISA на территории региона EMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet должны пройти процедуру аудита на соответствие требованиям Стандарта.

Цели и критерии аудита

Целью аудита является проверка соответствия платежных систем Заказчика и поддерживающей их ИТ-инфраструктуры требованиям стандарта PCI DSS, определяющего следующие 6 областей контроля и 12 основных требований по безопасности:

1. Построение и сопровождение защищенной сети:

• Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт
• Требование 2: не использование выставленных по умолчанию производителями системных паролей и других параметров безопасности

2. Защита данных держателей карт:

• Требование 3: обеспечение защиты данных держателей карт в ходе их хранения
• Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети

3. Поддержка программы управления уязвимостями:

• Требование 5: использование и регулярное обновление антивирусного программного обеспечения
• Требование 6: разработка и поддержка защищенных систем и приложений

4. Реализация мер по строгому контролю доступа:

• Требование 7: разграничение доступа к данным по принципу служебной необходимости
• Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру
• Требование 9: ограничение физического доступа к данным держателей карт

5. Регулярный мониторинг и тестирование сети:

• Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт
• Требование 11: регулярное тестирование систем и процессов обеспечения безопасности

6. Поддержка политики информационной безопасности:

• Требование 12: наличие и исполнение в организации политики информационной безопасности

Порядок проведения работ

Работы по аудиту на соответствие стандарту PCI DSS включают в себя три последовательных этапа:

1. Сбор исходных данных и анализ документации

• Получение от Заказчика схемы сети, организационно-распорядительных документов по обеспечению информационной безопасности и других необходимых документов
• Проверка полноты и качества документов, оценка соответствия документов требованиям Стандарта
• Интервьюирование специалистов Заказчика, заполнение и обработка анкеты для проверки выполнения требований Стандарта
• Подготовка Отчета о расхождениях с требованиями Стандарта

2. Анализ защищенности периметра и инфраструктуры корпоративной сети

• Сканирование внешнего периметра корпоративной сети, исследование обнаруженных уязвимостей, анализ настроек сетевого оборудования
• Анализ конфигурационных файлов маршрутизаторов, МЭ, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры
• Сканирование ресурсов корпоративной сети изнутри
• Анализ конфигурации серверов и рабочих станций корпоративной сети при помощи специализированных программных средств
• Анализ и обобщение полученных результатов, выработка рекомендаций, подготовка, согласование и оформление отчетных документов

3. Проверка реализации требований Стандарта на объекте аудита

• Проверка актуальности предоставленной схемы сети и других документов
• Проверка выполнения требований внутренних организационно-распорядительных документов в организации
• Проверка реализации требований стандарта в выбранных аудитором сегментах корпоративной сети Заказчика
• Подготовка сводного отчета о результатах аудита, содержащего выводы о несоответствиях и рекомендации по их устранению
• Согласование и презентация отчетных документов

Основные результаты работы

Основными результатами работы будут являться:

1. Формирование общественного мнения о честном имени и стабильном положении организации Заказчика на рынке и как следствие повышение доверия со стороны клиентов и партнеров
2. Снижение  величины рисков информационной безопасности, связанных с компрометацией карточных платежных систем и разглашением конфиденциальной информации
3. Повышение осведомленности персонала организации Заказчика в вопросах обеспечения информационной безопасности платежных систем

Кроме того, проведение аудита позволит:

1. Получить структурированную информацию об информационной инфраструктуре и используемых в организации Заказчика средствах защиты информации
2. Оценить полноту и качество существующей организационно-распорядительной документации организации Заказчика в области информационной безопасности и получить рекомендации по ее совершенствованию
3. Идентифицировать и оценить существующие уязвимости информационной инфраструктуры организации Заказчика и получить рекомендации по их уменьшению или ликвидации

Для получения более подробной информации обращайтесь к нам

• по телефону: +7 (925) 203-95-11
• по e-mail: info@globaltrust.ru
• через web-форму