Подготовка к сертификации PCI DSS

О стандарте

PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платёжных карт (Payment Card Industry Security Standards Council, PCI SSC), который учредили Visa, MasterCard, American Express, JCB и Discover.

Требования стандарта распространяются на все компании, работающие с международными платёжными системами: банки, торгово-сервисные предприятия, поставщиков технологических услуг и другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платёжных карт.

PCI DSS — комплексное руководство по безопасности

Стандарт PCI DSS выдвигает требования к защищённости компонентов инфраструктуры, в которой передаётся, обрабатывается или хранится информация о платёжных картах. Проверка платёжной инфраструктуры на соответствие этим требованиям выявляет причины, которые значительно снижают уровень её защищённости. Тесты на проникновение, которые входят в список обязательных мероприятий, регламентированных стандартом PCI DSS, показывают реальный уровень защищённости информационных ресурсов компании как с позиции злоумышленника, находящегося за пределами исследуемого периметра, так и с позиции сотрудника компании, имеющего доступ «изнутри».

Совет PCI DSS сформулировал ключевые требования по организации защиты данных в документе «Стандарт безопасности данных индустрии платёжных карт (PCI DSS). Требования и процедуры оценки безопасности. Версия 3.0». Эти требования сгруппированы таким образом, чтобы упростить процедуру аудита безопасности.

Скачать PCI DSS на русском языке.

Требования и процедуры оценки безопасности PCI DSS

Построить и поддерживать защищённые сети и системы

• Требование 1. «Установить и поддерживать конфигурацию межсетевых экранов для защиты данных о держателях карт».
• Требование 2. «Не использовать пароли к системам и другие параметры безопасности, заданные производителем по умолчанию».

Защищать данные о держателях карт

• Требование 3. «Защищать хранимые данные о держателях карт».
• Требование 4. «Шифровать данные о держателях карт при их передаче через общедоступные сети».
  

Поддерживать программу управления уязвимостями

• Требование 5. «Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО».
• Требование 6. «Разрабатывать и поддерживать безопасные системы и приложения».

Внедрять строгие меры контроля доступа

• Требование 7. «Ограничивать доступ к данным о держателях карт в соответствии со служебной необходимостью».
• Требование 8. «Идентифицировать и аутентифицировать доступ к системным компонентам».
• Требование 9. «Ограничивать физический доступ к данным о держателях карт».

Осуществлять регулярный мониторинг и тестирование сетей

• Требование 10. «Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и данным о держателях карт».
• Требование 11. «Регулярно тестировать системы и процессы безопасности»

Поддерживать политику информационной безопасности

• Требование 12. «Поддерживать политику информационной безопасности для всех работников».

«Перспективный мониторинг» помогает банкам, торгово-сервисным предприятиям, разработчикам финансовых сервисов подготовится к аудиту на соответствие PCI DSS и оказывает экспертную поддержку по выполнению требований стандарта.