Организации, хранящие, обрабатывающие и передающие данные платежных карт международных платежных систем (Visa, MasterCard, American Express, Discover, JCB), обязаны выполнять требования стандарта PCI DSS. Платежными системами определены периодичность и форма подтверждения соответствия требованиям стандарта, а также санкции за их невыполнение и компрометацию данных платежных карт.

Для помощи организациям в выполнении требований стандарта компания «Информзащита» предлагает различные варианты услуги по обеспечению соответствия PCI DSS, учитывающие задачи и специфику клиента. В их числе:

  • PCI DSS Compliance. Услуга предполагает приведение уровня информационной безопасности компании в соответствие требованиям стандарта PCI DSS c «нуля». Включает в себя:
    • Предварительный аудит с разработкой плана приведения в соответствие;
    • Непосредственно этап приведения;
    • Финальный сертификационный аудит.
  • Поддержание соответствия требованиям PCI DSS. Услуга предполагает помощь организациям, уже имеющим сертификат соответствия PCI DSS и заинтересованным в его очередном подтверждении.
  • Сертификационный аудит PCI DSS. Услуга предназначена для организаций, самостоятельно реализовавших требуемые PCI DSS меры защиты и заинтересованных только в итоговой оценке соответствия.
  • Сертификация программного обеспечения по требованиям стандарта PA-DSS. В 2008 году Советом по безопасности индустрии платежных карт (PCI SSC) принят стандарт безопасности платежных приложений – Payment Application Data Security Standard (PA-DSS), направленный на поддержку выполнения требований стандарта PCI DSS. По требованиям платежных систем VISA и MasterCard все «коробочные» приложения, участвующие в обработке транзакций авторизации или проведении расчетов по платежным картам, должны быть сертифицированы по стандарту PA-DSS.
    Платежными системами VISA и MasterСard определен срок по завершению перехода агентов и предприятий торгово-сервисной сети на использование сертифицированных приложений – 1 июля 2012 г.
    Сертификацию приложений на соответствие стандарту PA-DSS может проводить только аудитор, имеющий статус PA-QSA. «Информзащита» – первая в России компания, имеющая данный статус.
    Специалисты «Информзащиты» с 2009 года проводят аудиты на соответствие стандарту PA-DSS. За время проведения работ нами сертифицировано более 10 приложений: процессинговое программное обеспечение, приложения платежных терминалов и электронной коммерции. Накопленный опыт позволяет определить оптимальную для разработчика схему проведения подготовительных работ и сертификации. Внедрение требований обеспечения безопасной разработки и сопровождения программного обеспечения осуществляется с учетом существующих процессов. Уровень итоговых документов и наработанная практика обеспечивают минимальный срок прохождения обязательной процедуры контроля качества со стороны PCI SSC. 
  • Поддержание соответствия программного обеспечения требованиям стандарта PA-DSS. Изменения, вносимые в сертифицированные PA-DSS платежные приложения, подлежат анализу и в ряде случаев влекут за собой обязательную процедуру повторной сертификации. Объем и отчетные документы проводимой сертификации зависит от типа изменений.
    Сертифицированные аудиторы Информзащиты обладают опытом в формировании политик релизов с учетом требований стандарта и реалий вендора, проведения повторной сертификации для всех определенных стандартом типов изменений, согласовании итоговых документов с PCI SSC.
    Подход к обеспечению повторных сертификаций формируется на основании пожеланий разработчика и ориентируется на существующую практику выпуска обновлений со стороны разработчика приложений.
  • Сканирование PCI ASV, сканирование WEB приложений. Компания «Информзащита» является сертифицированным (сертификат №4159-01-08) поставщиком сканирований PCI ASV. Сканирование PCI ASV обеспечивает выполнение пункта 11.2.2 стандарта PCI DSS. Помимо формального соответствия стандарту, сканирование PCI ASV позволяет оценить защищенность Вашего внешнего сетевого периметра, выявить уязвимости и некорректные конфигурации.
  • Комплексный тест на проникновение по требованиям PCI DSS. Услуга включает практическую оценку возможности осуществления несанкционированного доступа к данным платежных карт или сетевым ресурсам, обрабатывающим данные платежных карт (требование пункта 11.3 PCI DSS).
  • Разработка для банков-эквайеров программы соответствия мерчантов требованиям PCI DSS. Согласно требованиям международных платежных систем, банки-эквайеры несут ответственность за выполнение своими мерчантами требований стандарта PCI DSS. В рамках услуги осуществляется разработка программы контроля соответствия мерчантов требованиям стандарта PCI DSS на основе программ безопасности международных платежных систем Account Information Security и Site Data Protection.
  • Помощь в заполнении листа самооценки PCI DSS. Услуга предназначена для мерчантов и сервис-провайдеров с небольшими объемами транзакций. В рамках услуги компания «Информзащита» оказывает помощь в проведении оценки соответствия с заполнением листа самооценки PCI DSS.

Проведение работ позволит выполнить предъявляемые стандартом требования, снизить риски компрометации данных платежных карт и избежать санкций со стороны международных платежных систем.

Компания «Информзащита» первой в РФ получила статусы QSA и ASV, дающие право выполнять сертификационные аудиты PCI DSS и внешние ASV-сканирования. По количеству сертифицированных QSA-аудиторов «Информзащита» превосходит другие российские компании. Таким образом, с каждым клиентом работает персональный специалист. Компания успешно прошла контроль качества отчетов со стороны PCI SSC, подтвердивший высокое качество предоставляемых клиентам услуг. С 2006-го года компания выполнила для банков, независимых процессинговых центров, сервис-провайдеров, дата-центров и мерчантов более 90 проектов по приведению к соответствию и сертификации PCI DSS.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!