Сертификация PCI DSS / Аудит PCI DSS

Оценка соответствия и сертификация по PCI DSS для безопасной обработки платежных карт

О стандарте

Организации, хранящие, обрабатывающие и передающие данные платежных карт международных платежных систем (Visa, MasterCard, МИР, American Express, Discover, JCB), обязаны выполнять требования стандарта Payment Card Industry Data Security Standard (PCI DSS). Платежными системами определены периодичность и форма подтверждения соответствия требованиям стандарта PCI DSS, а также санкции за их невыполнение и компрометацию данных платежных карт.

Для подготовки предложения заполните нашу анкету. По вопросам стоимости и состава работ можете обращаться на почту: pcidss@infosec.ru.

Варианты оказания услуг

Сертификационная оценка на соответствие требованиям PCI DSS

Услуга предполагает проведение сертификационной оценки соответствия требованиям PCI DSS и предназначена для организаций, реализовавших требуемые стандартом меры защиты и заинтересованных только в итоговой оценке с привлечением QSA-аудитора.

Приведение в соответствие требованиям стандарта PCI DSS

В рамках данного варианта услуги предлагаются консультационные работы по приведению уровня информационной безопасности организации в соответствие требованиям стандарта PCI DSS c «нуля».

Услуга включает в себя:

Предварительный аудит;
Консультационное сопровождение;
Комплексный тест на проникновение по требованиям PCI DSS;
Сканирование PCI ASV;
Сертификационный аудит PCI DSS;
Тестирование на проникновение в отношении средств сегментации

Поддержание соответствия требованиям PCI DSS

Услуга предназначена для организаций, имеющих сертификат соответствия PCI DSS и заинтересованных в его поддержании и в очередном подтверждении в рамках обязательного ежегодного сертификационного аудита.

Услуга включает в себя:

Расширенное консультационное сопровождение в течение года;
Комплексный тест на проникновение по требованиям PCI DSS;
Сканирование PCI ASV;
Сертификационный аудит PCI DSS;
Тестирование на проникновение в отношении средств сегментации.

Помощь в заполнении листа самооценки PCI DSS SAQ

Услуга предназначена для мерчантов и сервис-провайдеров с небольшими объемами транзакций. В рамках услуги эксперты компании «Информзащита» оказывают помощь в проведении оценки соответствия с заполнением листа самооценки PCI DSS SAQ.

Консультационные услуги по построению инфраструктуры в соответствии с требованиями PCI DSS

Если на текущем этапе организация только планирует внедрение платежной инфраструктуры, то мы предлагаем:

Оценка технического задания на соответствие PCI DSS, рекомендации по корректировке или помощь в разработке ТЗ;
Консультационная поддержка по выбору средств защиты и инфраструктурных решений (WAF, SIEM и др.) без привязки к вендорам;
Поддержка при размещении инфраструктуры в Yandex.Cloud: помощь в выборе решений, взаимодействие с техническими специалистами, сопровождение внедрения;
Предоставление и доработка шаблонов нормативных документов: стандарты конфигурирования, политики безопасности, процедуры реагирования, регламенты и инструкции;
Обучение сотрудников по требованиям PCI DSS: разъяснение стандартов, типичные ошибки и лучшие практики.

Описание этапов

Предварительный аудит

Оценка текущего уровня соответствия платежной инфраструктуры организации требованиям стандарта PCI DSS, формирование плана устранения несоответствий.

Консультационное сопровождение

Консультационная поддержка по устранению несоответствий и подбор компенсационных мер в случае невозможности прямого выполнения требований.

Расширенное консультационное сопровождение в течение года

Консультации оказываются в течение года и направлены на:

Приведение в соответствие требованиям PCI DSS новых процессов и систем, внедряемых в течение года;
Проверку любых изменений в текущей инфраструктуре Заказчика на предмет соответствия требованиям PCI DSS;
Разработка и реализация плана проверок процессов и инфраструктуры требованиям PCI DSS в течение года.

Комплексный тест на проникновение по требованиям PCI DSS

Работа направлена на выполнение требования пункта 11.4 стандарта PCI DSS 4.0.1, включает практическую оценку возможности осуществления несанкционированного доступа к данным платежных карт (ДПК) и/или сетевым ресурсам, обрабатывающим ДПК.

Сканирование PCI ASV

Сканирование PCI ASV обязательно для выполнения пункта 11.3.2 PCI DSS 4.0.1, а также позволяет организациям оценить защищенность внешнего сетевого периметра, выявить уязвимости и ошибки конфигурации. Подробнее можете узнать на нашем сайте в разделе ASV-сканирование.

Сертификационный аудит PCI DSS

Проведение итоговой сертификационной оценки соответствия требованиям PCI DSS, разработка необходимой отчетной документации в соответствии с требованиями PCI SSC.

Тестирование на проникновение в отношении средств сегментации

Работа направлена на выполнение дополнительного требования для сервис-провайдеров – пункта 11.4.6 PCI DSS 4.0.1. Тестирование на проникновение в отношении средств сегментации проводится в ходе повторного внутреннего теста на проникновение и направлено, в первую очередь, на все используемые средства и методы сегментации.

Новости и материалы по теме

Новости

22 / 09 / 2025

«Информзащита» провела выездную конференцию «Weekend знаний II»

Компания «Информзащита» организовала «Weekend знаний II» — выездную конференцию по информационной безопасности в Konakovo River Club на берегу Волги, которая прошла с 5 по 7 сентября. Мероприятие стало платформой для обсуждения актуальных вопросов ИБ и укрепления сотрудничества внутри отрасли.

Новости

18 / 09 / 2025

Более 80% поглощаемых компаний при слиянии имеют более низкий уровень ИБ

Около 84% компаний, становящихся объектом поглощения, имеют более низкий уровень кибербезопасности, чем их покупатели. Эксперты «Информзащиты» связывают это с недооценкой роли ИБ как стратегического актива, нехваткой инвестиций в защиту и использованием устаревших систем и процессов.

Новости

12 / 09 / 2025

Атаки с использованием ботнетов стали на 30% чаще

Хакеры стали на 34% чаще использовать ботнеты – компьютерные сети, состоящие из множества заражённых устройств, управляемых удалённо, – согласно статистике с января по август 2025 года по сравнению с аналогичным периодом 2024 года.

Новости

09 / 09 / 2025

НАЦ обеспечил соответствие требованиям ИБ для ведущих облачных провайдеров

«Национальный аттестационный центр» (НАЦ) обеспечил соответствие требованиям информационной безопасности семи компаний, вошедших в ТОП рейтинга «CNews IaaS ENTERPRISE 2025: Рейтинг провайдеров инфраструктурных облачных сервисов».

Новости

03 / 09 / 2025

Атаки на ERP в 2025 году стали чаще более чем на 40%

Согласно последним данным специалистов «Информзащиты», число атак на системы планирования ресурсов предприятия (ERP), увеличилось на 43% в первые шесть месяцев 2025 года по сравнению с аналогичным периодом прошлого года.

Новости

28 / 08 / 2025

Менее 5% промышленных организаций автоматизировали IAM-процессы

Системы управления учётными записями и доступом (IAM-системы) внедрены лишь в 4% промышленных организаций России.

Мероприятия

07 / 07 / 2025

Ежегодная конференции «Росатом Информационная безопасность 2025»

Мероприятия

07 / 07 / 2025

«Информзащита» стала спонсором и приняла участие в XXV Всероссийской научно-практическая конференции МОРИНТЕХ-ПРАКТИК «Информационные технологии в судостроении-2025»

Мероприятия

07 / 07 / 2025