Audyt

Payment Card Industry Data Security Standard (PCI DSS), to zestaw wymagań z obszaru bezpieczeństwa dla przedsiębiorstw, które przetwarzają dane z kart płatniczych i kredytowych.

W celu zapewnienia wysokiego poziomu bezpieczeństwa, stworzono spójny standard – Payment Card Industry Data Security Standard.
Przedsiębiorcy, którzy przyjmują płatności kartą lub prowadzą działalność e-commerce zobligowani są do corocznych audytów potwierdzających zgodność ze standardem. Wymagania dotyczą procesów przetwarzania płatności, infrastruktury oraz informacji płatniczych konsumentów.
Standard dotyczy dostawców usług płatniczych, jednostek handlowo-usługowych oraz banków. Konsekwencją nieprzestrzegania wymagań jest:

  • brak możliwości obsługi kart płatniczych,
  • komplikacje biznesowe oraz finansowe.

Organizacje, które m.in. wymagają zgodności ze standardem, to: Visa International, MasterCard, American Express, JCB International oraz Diners Club International.
Jest to norma, która ściśle określa wymagania, które muszą być spełnione przed jednostki, które zaangażowane są w proces przetwarzania danych z kart płatniczych. Podmiot gwarantujący standard PCI DSS potwierdza, iż organizacja posiada najwyższy stopień bezpieczeństwa w procesie przeprowadzania płatności.

nFlo oferuje wykonanie audytu zgodności systemów z wymogami PCI DSS. Przeprowadzamy testy bezpieczeństwa infrastruktury i aplikacji, wykazując ryzyka oraz raport, który zawiera rekomendacje prowadzące do zgodności ze standardem. Nasi konsultanci mogą poprowadzić również projekt, który pozwoli na przygotowanie środowiska w celu uzupełnienia wymagań zgodnych z normą i otrzymania certyfikacji w tym obszarze.

AUDYT PCI DSS

Przygotowanie infrastruktury do audytu PCI DSS wykorzystuje wymagania standardu PCI DSS w zakresie przetwarzania, przechowywania oraz przesyłania danych kartowych. Opierając się na kilkuletnim doświadczeniu jako audytor PCI DSS QSA przygotowujemy systemy, procesy i aplikację pod wymagania standardu PCI DSS, tak aby audyt przebiegł sprawnie, a systemy spełniały wymagania standardu PCI DSS.

Przegląd bezpieczeństwa wymagań PCI DSS realizowana jest kompleksowo we wszystkich warstwach systemu zabezpieczeń procesów przetwarzających dane kartowe:

  • organizacyjnej,
  • procesowej,
  • technicznej.

Podejście do analizy infrastruktury oparte jest o doświadczenie pracy jako audytor PCI DSS QSA oraz sposobu wykonywania przeglądów infrastruktury podczas audytów.

W ramach prac przeprowadzana jest weryfikacja infrastruktury PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:

  • analiza dokumentacji procesów wspomagających bezpieczeństwo przetwarzanych danych kartowych ,
  • sprawdzenie konfiguracji serwerów i aplikacji oraz aplikacji wspomagających bezpieczeństwo zgodnie z wymaganiami standardu PCI DSS,
  • analiza lokalizacji zabezpieczeń w sieci infrastruktury kartowej,
  • analiza dokumentacji i procesów na podstawie informacji przekazanych przez Państwa pracowników.

Nasza metodyka przygotowania infrastruktury do audytu PCI DSS zakłada przeprowadzenie prac w następujących krokach:

Krok 1 – analiza wstępna w celu identyfikacji głównych procesów biznesowych, miejsc przetwarzania danych kartowych, wykorzystywanych systemów informatycznych, wdrożonych rozwiązań organizacyjnych, procesowych oraz technicznych,

Krok 2 – identyfikacja zabezpieczeń wdrożonych w celu ochrony zasobów organizacji przetwarzających dane kartowe oraz weryfikacja ich kompletności z punktu widzenia wymagań PCI DSS,

Krok 3 – wdrożenie potrzebnych procesów, zmian w konfiguracji i dokumentacji wymaganej przez standard PCI DSS,

Krok 4 – wykonanie testów penetracyjnych, testów podatności systemów w sieci wewnętrznej i zewnętrznej. Przygotowanie infrastruktury do skanowania PCI ASV,

Krok 5 – wykonanie końcowego audytu PCI DSS z punktu widzenia audytora PCI DSS QSA,

Krok 6 – Pomoc podczas audytu PCI DSS, współpraca z audytorem PCI DSS QSA w zakresie spełnienia wymagań infrastruktury PCI DSS.

Prace są przeprowadzone w warstwie technicznej na podstawie analizy dokumentacji systemów w zakresie prac,
a także poprzez przegląd wybranych konfiguracji.

Oczekujemy od Państwa zapewnienie niezbędnych informacje dotyczące analizowanych rozwiązań, w tym dokumentację techniczną oraz schematy sieciowe, a także umożliwi odbycie spotkań z osobami odpowiedzialnymi za utrzymanie poszczególnych elementów systemów.

Analiza architektury bezpieczeństwa środowiska kartowego realizowana z perspektywy identyfikacji i analizy ryzyka dla procesów technologicznych.

W ramach prac przeprowadzana jest weryfikacja adekwatności oraz kompletności wdrożonych zabezpieczeń infrastruktury teleinformatycznej zgodnej z wymaganiami PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:

  • Analiza obecnej struktury organizacyjnej dla obszaru bezpieczeństwa PCI DSS.
  • Weryfikacja obecnych procesów wspierających bezpieczeństwo środowiska,

w tym:

  • Zarządzanie Ryzykiem,
  • Kontrola dostępu do systemów przetwarzających dane kartowe,
  • Zarządzanie incydentami,
  • Zarządzanie Zmianą i Konfiguracją,
  • Ochronę przed złośliwym oprogramowaniem,
  • Zarządzanie podatnościami systemów przetwarzających dane kartowe,
  • Plany Ciągłości Działania,
  • Analiza architektury bezpieczeństwa systemów,
  • Analiza architektury sieciowej na podstawie dokumentacji i informacji przekazanych przez Państwa pracowników,
  • Analiza sposobu separacji środowisk produkcyjnych oraz metod zabezpieczeń dostępu do środowisk produkcyjnych,
  • Analiza wykorzystywanych narzędzi monitorujących używanych w systemach kartowych,
  • Przegląd funkcji oraz skuteczności wykorzystania elementów infrastruktury bezpieczeństwa,
  • Analiza dokumentacji oprogramowania oraz rozwiązań zapewniających bezpieczeństwo środowiska kartowego.