меню
связаться
icon
Аудит и консалтинг
icon
SOC
icon
Безопасность ИТ-инфраструктуры
icon
Защита бизнеса
icon
Разработка ПО
icon
Тестирование защищенности
icon
Соответствие требованиям
icon
Противодействие мошенничеству
icon
Сервисное обслуживание
Все услуги

  • Аудит защищенности информационной инфраструктуры

    Выявление уязвимостей сетевой инфраструктуры и разработка рекомендаций по их устранению

  • Комплексное обследование ИБ и разработка программы развития ИБ

    Оценка рисков бизнеса и соответствующих им рисков информационной безопасности

  • Повышение осведомленности по вопросам ИБ (Security Awareness)

    Обучение сотрудников распознаванию фишинга и защите данных

  • Разработка нормативной документации

    Комплексный аудит ИБ, разработка и поддержание актуального состояния нормативной документации.

  • Управление рисками ИБ

    Количественная оценка рисков ИБ и интеграция процесса управления рисками в корпоративную систему

  • Непрерывный мониторинг (Continuous Monitoring)

    Сканирование сетевого периметра 24/7: поиск уязвимых сервисов и оценка актуальных внешних угроз

  • Подключение к ГосСОПКА

    Интеграция с государственной системой для оперативного обмена данными об угрозах

  • Построение корпоративных ситуационных центров информационной безопасности (SOC)

    SOC представляет собой подразделение, в котором сотрудники-процессы-технологии объединены для своевременного реагирования и выявления существующих и потенциальных угроз.

  • Расследование инцидентов ИБ и компьютерная экспертиза (Форензика)

    Расследование киберинцидентов: анализ атак, поиск злоумышленников

  • Технические решения SOC заказчиков

    Для эффективной работы SOC выбор технологий играет немаловажную роль

  • Управление уязвимостями

    Комплексное управление уязвимостями: от инвентаризации активов до настройки автоматизированного контроля защищенности

  • Анализ и управление конфигурациями сетевых устройств

    Аудит и оптимизация настроек МЭ, роутеров, коммутаторов для безопасности

  • Безопасность баз данных и приложений

    Защита СУБД и приложений от уязвимостей и несанкционированного доступа

  • Безопасность беспроводных сетей

    Аудит и защита Wi-Fi от взлома и несанкционированного подключения

  • Безопасность мобильных устройств

    MDM/UEM — централизованное управление и защита корпоративных мобильных устройств и данных

  • Защита WEB приложений

    WAF: обеспечение доступности веб-приложений за счет защиты от различных классов атак

  • Защита каналов связи

    VPN/RA-VPN: шифрование каналов, аутентификация и контроль удалённого доступа

  • Защита от APT и 0-day атак

    Выявление и блокирование APT-атак и 0-day угроз через анализ в «песочнице» (Sandbox)

  • Защита от утечек и контроль действий пользователей (DLP)

    Предотвращение утечек данных и мониторинг подозрительной активности

  • Защита сетевой инфраструктуры

    Комплексная защита сети: NGFW, IDS/IPS, сегментация для блокирования внешних и внутренних угроз

  • Защищенное подключение к Интернет

    Безопасный выход в интернет с фильтрацией угроз и контента

  • Информационная безопасность для ЦОД

    Комплексная защита инфраструктуры ЦОД: профили безопасности, внедрение СЗИ, аттестация

  • Инфраструктура открытых ключей (PKI)

    Создание PKI для защищенного электронного документооборота: УЦ, управление ключами, сертификаты

  • Контроль действий пользователей и администраторов

    PAM: Мониторинг привилегированного доступа, запись сессий и детальный аудит действий для контроля безопасности.

  • Контроль доступа к неструктурированным данным (DAG)

    Контроль и защита неструктурированных данных: доступ, классификация, выявление критичной информации

  • Контроль доступа к сети

    NAC: проверка устройств перед доступом в корпоративную сеть

  • Мониторинг событий и управление инцидентами (SIEM)

    Централизованный сбор и анализ событий ИБ в реальном времени для мониторинга угроз

  • Нагрузочное тестирование

    Проверка устойчивости систем к высокой нагрузке и отказоустойчивости

  • Обеспечение непрерывности бизнеса (ВСМ)

    Планы BCP/DRP для быстрого восстановления после сбоев и атак

  • Заказная разработка программного обеспечения

    Создание безопасного ПО с учетом требований ИБ (DevSecOps)

  • Безопасная разработка: анализ кода

    SAST и ручной анализ кода, регулярные проверки, интеграция в SDLC

  • Киберучения (Adversary Emulation)

    Моделирование тактик реальных APT-групп для проверки защиты и реакции команды защитников

  • Тестирование на проникновение

    Поиск критичных уязвимостей и эмуляция атак для оценки защищённости организации

  • Тестирование на проникновение в режиме Red Team (Red Team Assessment)

    Скрытое тестирование без предупреждения для проверки готовности компании к реальным атакам

  • Подключение к платформе Цифрового рубля

    Полный цикл подключения банка к платформе Цифрового рубля с соблюдением всех требований ИБ и регуляторов

  • PCI ASV-сканирование

    ASV-сканирование внешней инфраструктуры для соответствия требованиям PCI DSS

  • Аудит SWIFT CSP (CSCF)

    Подготовка к SWIFT-аудиту: оценка или приведение в соответствие требованиям CSCF

  • Аудит по Положениям ЦБ № 851-П, 757-П, 821-П, 802-П

    Подготовка к проверкам ЦБ РФ по ключевым Положениям

  • Безопасность ГИС

    Защита информации в ГИС по 149-ФЗ: разработка, внедрение и аттестация СЗИ

  • Внедрение системы управления информационной безопасностью (ISO 27001)

    Построение СУИБ на основе международного стандарта ISO 27001

  • Защита информации, составляющей коммерческую тайну

    Установление правового режима коммерческой тайны и внедрение лицензированных средств технической защиты

  • Защита КИИ (187-ФЗ)

    Приведение КИИ в соответствие 187-ФЗ: категорирование объектов и интеграция с ГосСОПКА

  • Оценка / Аудит ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022

    Аудит соответствия ГОСТ Р 57580.3-2022 (риски ИБ) и 57580.4-2022 (опернадежность)

  • Оценка ГОСТ Р 57580.1-2017 / Аудит ГОСТ Р 57580.1-2017

    Оценка/аудит соответствия ИБ финансовых организаций ГОСТ Р 57580.1-2017 для выполнения требований ЦБ

  • Оценка ОУД 4

    Оценка соответствия ПО финорганизаций уровню доверия ОУД4 по требованиям ЦБ и ГОСТ

  • Сертификация PCI DSS / Аудит PCI DSS

    Оценка соответствия и сертификация по PCI DSS для безопасной обработки платежных карт

  • Сертификация PCI PIN Security / Аудит PCI PIN Security

    Аудит безопасности обработки и передачи PIN-данных по стандарту PCI PIN Security

  • Сертификация PCI SSF (замена PA-DSS)

    Оценка платежных приложений и процессов разработки на соответствие PCI SSF (Secure Software/SLC)

  • Соответствие требованиям PCI 3DS

    Оценка и подготовка инфраструктуры 3D Secure (3-D Secure) к соответствию PCI 3DS

  • Соответствие ФЗ «О персональных данных» (152-ФЗ)

    Приведение обработки ПДн в соответствие требованиям 152‑ФЗ: аудит, документация, защита данных

  • Противодействие мошенничеству (Anti-fraud)

    Системы обнаружения и предотвращения фрода в платежах и операциях

  • Услуги сервисного центра компании «Информзащита»

    Внедрение, техподдержка, сопровождение и аутсорсинг эксплуатации ИБ-оборудования и ПО

Промышленность и транспорт
Проект по оценке уровня соответствия компании «Аэроэкспресс» требованиям стандарта PCI DSS v 3.2.1
Защита от защитников: что не так со вторым пакетом антифрод-мер?
За нами следят? Разбираемся в «шпионаже» через МАХ
Human Risk Management или как побороть главную киберугрозу
Все статьи
«Информзащита» отмечает свое 30-летие
новости
28 / 07 / 2025
«Информзащита» отмечает свое 30-летие
27 июля ведущему российскому интегратору в области информационной безопасности компании «Информзащита» исполнилось 30 лет. Свои поздравления направили партнеры – «Лаборатория Касперского», Positive Technologies, «Код Безопасности», «Солар», UserGate и другие.
перейти в раздел
Актуальные вакансии компании
Специалист первой линии поддержки Аудитор безопасной разработки ПО в Департамент Консалтинга и аудита Архитектор SIEM / SOC
+7 495 980-23-45
market@infosec.ru

125167 г. Москва, Театральная аллея, д. 3, стр. 1

ВКОНТАКТЕ youtube
image
Главная Услуги Соответствие требованиям
Сертификация PCI SSF (замена PA-DSS)

Сертификация PCI SSF (замена PA-DSS)

Оценка платежных приложений и процессов разработки на соответствие PCI SSF (Secure Software/SLC)

получить консультацию

О стандартах фреймворка

Стандарт безопасности платежных приложений Payment Application Data Security Standard (PA-DSS) утратил силу в октябре 2022 года, сертификация нового платёжного ПО на соответствие стандарту PA-DSS завершилась в июне 2021 года. В качестве замены PA-DSS Советом по безопасности индустрии платежных карт PCI SSC были приняты стандарты семейства PCI Software Security Framework (PCI SSF):

  • PCI Secure Software Requirements and Assessment Procedures (PCI Secure Software Standard);
  • PCI Secure Software Lifecycle Requirements and Assessment Procedures (PCI Secure SLC Standard).

PCI Secure Software Standard определяет набор требований безопасности и связанных с ними процедур тестирования, выполнение которых гарантирует, что платёжное программное обеспечение (далее – ПО) адекватно защищает целостность и конфиденциальность платежных транзакций и данных.

Требования PCI Secure Software Standard необходимо выполнять в отношении платёжного ПО при его продаже, распространении и/или лицензировании такого ПО третьими лицами, если такое ПО:

  • участвует или непосредственно обеспечивает и/или сопровождает платёжные транзакции, которые хранят, обрабатывают или передают данные счета в открытом виде;
  • продается более, чем одной организации;
  • предназначено для использования на устройствах PTS POI, одобренных PCI SSC.

PCI Secure SLC Standard определяет безопасные методы управления жизненным циклом платёжного ПО, позволяющие гарантировать вендору такого ПО, что оно спроектировано и разработано для защиты платежных транзакций и данных, минимизации уязвимостей и защиты от атак. Сертификация по требованиям PCI Secure SLC Standard позволяет вендору платёжного ПО:

  • получить статус Secure SLC-Qualified Vendor публикацию на официальном сайте PCI SSC;
  • проводить частичные или дельта-оценки платёжного ПО самостоятельно, т.е. без привлечения внешнего аудитора;
  • освободиться от уплаты сборов за административные и изменения низкого уровня влияния.

«Информзащита» обладает статусом SSF Assessor Company.

Эксперты «Информзащиты» с 2009 года провели более 70 сертификационных аудитов PA-DSS для более чем 25 приложений: процессинговое программное обеспечение, приложения платежных терминалов и электронной коммерции. Накопленный опыт позволяет определить оптимальную для разработчика схему проведения подготовительных работ и сертификации. Внедрение требований обеспечения безопасной разработки и сопровождения программного обеспечения осуществляется с учетом существующих процессов. Уровень итоговых документов и наработанная практика обеспечивают минимальный срок прохождения обязательной процедуры контроля качества со стороны PCI SSC.

Для подготовки предложения заполните нашу анкету. По вопросам стоимости и состава работ можете обращаться на почту: pcidss@infosec.ru.

Варианты оказания услуг

Первичная проверка по требованиям стандартов PCI Software Security Framework

В ходе оказания услуги мы проведем оценку соответствия платежного приложения и/или его жизненного цикла всем требованиям стандарта PCI Secure Software Standard и/или PCI Secure SLC Standard.

В соответствии с поставленными задачами мы предлагаем выполнить работы в 3 (три) последовательных этапа:

  • первичный анализ выполнения требований стандарта PCI Secure Software Standard/Secure SLC Standard;
  • проведение сертификационного аудита;
  • согласование отчета с PCI SSC.

Поддержание соответствия требованиям стандартов PCI Software Security Framework

Изменения, вносимые в сертифицированные платежные приложения и/или их жизненный цикл, подлежат анализу и в ряде случаев влекут за собой обязательную процедуру повторной сертификации. Объем и отчетные документы проводимой сертификации зависят от типа изменений.

Сертифицированные аудиторы Информзащиты обладают релевантным опытом в формировании политик релизов с учетом требований стандартов PCI Software Security Framework и реалий вендора, проведения повторной сертификации для всех определенных стандартами PCI Software Security Framework типов изменений, согласовании итоговых документов с PCI SSC.

Подход к обеспечению повторной проверки приложений формируется на основании пожеланий вендора и ориентируется на существующую практику выпуска обновлений со стороны вендора приложений.

В соответствии с поставленными задачами мы предлагаем выполнить работы в 2 (два) последовательных этапа:

  • проведение сертификационного аудита;
  • согласование отчета с PCI SSC.

Описание этапов

Первичный анализ выполнения требованиям стандартов PCI Software Security Framework

В результате выполнения работ этапа будет сформирован план достижения соответствия стандарту PCI Secure Software Standard и/или PCI Secure SLC Standard, реализующий оптимальную для Заказчика схему выполнения требований информационной безопасности. В качестве одного из положений плана может быть представлена минимизация области аудита.

Подготовка и проведение сертификационного аудита

В рамках этапа мы оказываем консультационные услуги по реализации требований стандарта. По итогам выполнения работ этапа, в случае выполнения всех положений плана, Заказчик получит подтверждение о соответствии ПО всем требованиям PCI Secure Software Standard и/или PCI Secure SLC Standard. Основная нагрузка по выполнению работ плана ложится на Заказчика. Консультационная поддержка в рамках его реализации рекомендуется для минимизации затрат и сроков на его реализацию, а также для гарантированного подтверждения соответствия стандарту.

Согласование отчета с PCI SSC

Выполнение данного этапа осуществляется Исполнителем практически без участия Заказчика, на данном этапе производится прохождение обязательной процедуры согласования c PCI SSC (Советом по безопасности индустрии платежных карт) итогового отчета оценки – Report on Validation и/или Report on Compliance. По результатам выполнения этапа, Заказчик получит от PCI SSC статус соответствия требованиям PCI Secure Software Standard и/или PCI Secure SLC Standard, а также:

  • включение платёжного ПО Заказчика в публикуемый PCI SSC на официальном сайте список сертифицированного ПО, и/или
  • включение Заказчика в публикуемый PCI SSC на официальном сайте список Secure SLC-Qualified Vendor.

Новости и материалы по теме

Новости
22 / 09 / 2025
«Информзащита» провела выездную конференцию «Weekend знаний II»
Компания «Информзащита» организовала «Weekend знаний II» — выездную конференцию по информационной безопасности в Konakovo River Club на берегу Волги, которая прошла с 5 по 7 сентября. Мероприятие стало платформой для обсуждения актуальных вопросов ИБ и укрепления сотрудничества внутри отрасли.
Новости
18 / 09 / 2025
Более 80% поглощаемых компаний при слиянии имеют более низкий уровень ИБ
Около 84% компаний, становящихся объектом поглощения, имеют более низкий уровень кибербезопасности, чем их покупатели. Эксперты «Информзащиты» связывают это с недооценкой роли ИБ как стратегического актива, нехваткой инвестиций в защиту и использованием устаревших систем и процессов.
Новости
12 / 09 / 2025
Атаки с использованием ботнетов стали на 30% чаще
Хакеры стали на 34% чаще использовать ботнеты – компьютерные сети, состоящие из множества заражённых устройств, управляемых удалённо, – согласно статистике с января по август 2025 года по сравнению с аналогичным периодом 2024 года.
Новости
09 / 09 / 2025
НАЦ обеспечил соответствие требованиям ИБ для ведущих облачных провайдеров
«Национальный аттестационный центр» (НАЦ) обеспечил соответствие требованиям информационной безопасности семи компаний, вошедших в ТОП рейтинга «CNews IaaS ENTERPRISE 2025: Рейтинг провайдеров инфраструктурных облачных сервисов».
Новости
03 / 09 / 2025
Атаки на ERP в 2025 году стали чаще более чем на 40%
Согласно последним данным специалистов «Информзащиты», число атак на системы планирования ресурсов предприятия (ERP), увеличилось на 43% в первые шесть месяцев 2025 года по сравнению с аналогичным периодом прошлого года.
Новости
28 / 08 / 2025
Менее 5% промышленных организаций автоматизировали IAM-процессы
Системы управления учётными записями и доступом (IAM-системы) внедрены лишь в 4% промышленных организаций России.
Мероприятия
07 / 07 / 2025
Ежегодная конференции «Росатом Информационная безопасность 2025»
Мероприятия
07 / 07 / 2025
«Информзащита» стала спонсором и приняла участие в XXV Всероссийской научно-практическая конференции МОРИНТЕХ-ПРАКТИК «Информационные технологии в судостроении-2025»
Мероприятия
07 / 07 / 2025
«Информзащита» приняла участие в конференции «БеКон», которая прошла в Москве 3 июня
Мероприятия
19 / 05 / 2025
Форум «ЦИФРОТЕХ»
Мероприятия
19 / 05 / 2025
Конференция ГлавНИВЦ
Мероприятия
19 / 05 / 2025
Агенты безопасности
больше медиа
Защитите свой
бизнес от киберугроз

Заполните короткую форму, чтобы связаться с нами

Задача
имя фамилия
E-mail
Скачать файл

Для того чтобы скачать файл, оставьте свои данные

image
Название файла
pdf
4mb
Спасибо!

Для того чтобы скачать файл, нажмите на кнопку

Скачать

закрыть
Сайт компании
Откликнуться на вакансию

Оставьте нам свои данные, и мы свяжемся с вами

Желаемая должность
имя фамилия
E-mail
телефон
Ваше резюме
Или ссылка на резюме hh.ru или superjob.ru
Получить консультацию

Заполните короткую форму, чтобы связаться с нами

Интересующая услуга
вопрос или Сообщение
имя фамилия
Компания
E-mail
телефон

Мы используем файлы cookie для улучшения работы сайта

окей