Audyt PCI DSS

www.pcisecuritystandards.org

Payment Card Industry Data Security Standard (PCI DSS), to zestaw wymagań z obszaru bezpieczeństwa dla przedsiębiorstw, które przetwarzają dane z kart płatniczych i kredytowych.

W celu zapewnienia wysokiego poziomu bezpieczeństwa, stworzono spójny standard – Payment Card Industry Data Security Standard.
Przedsiębiorcy, którzy przyjmują płatności kartą lub prowadzą działalność e-commerce zobligowani są do corocznych audytów potwierdzających zgodność ze standardem. Wymagania dotyczą procesów przetwarzania płatności, infrastruktury oraz informacji płatniczych konsumentów.
Standard dotyczy dostawców usług płatniczych, jednostek handlowo-usługowych oraz banków. Konsekwencją nieprzestrzegania wymagań jest:

brak możliwości obsługi kart płatniczych,
komplikacje biznesowe oraz finansowe.

Organizacje, które m.in. wymagają zgodności ze standardem, to: Visa International, MasterCard, American Express, JCB International oraz Diners Club International.
Jest to norma, która ściśle określa wymagania, które muszą być spełnione przed jednostki, które zaangażowane są w proces przetwarzania danych z kart płatniczych. Podmiot gwarantujący standard PCI DSS potwierdza, iż organizacja posiada najwyższy stopień bezpieczeństwa w procesie przeprowadzania płatności.

nFlo oferuje wykonanie audytu zgodności systemów z wymogami PCI DSS. Przeprowadzamy testy bezpieczeństwa infrastruktury i aplikacji, wykazując ryzyka oraz raport, który zawiera rekomendacje prowadzące do zgodności ze standardem. Nasi konsultanci mogą poprowadzić również projekt, który pozwoli na przygotowanie środowiska w celu uzupełnienia wymagań zgodnych z normą i otrzymania certyfikacji w tym obszarze.

Przygotowanie infrastruktury do audytu PCI DSS wykorzystuje wymagania standardu PCI DSS w zakresie przetwarzania, przechowywania oraz przesyłania danych kartowych. Opierając się na kilkuletnim doświadczeniu jako audytor PCI DSS QSA przygotowujemy systemy, procesy i aplikację pod wymagania standardu PCI DSS, tak aby audyt przebiegł sprawnie, a systemy spełniały wymagania standardu PCI DSS.

Przegląd bezpieczeństwa wymagań PCI DSS realizowana jest kompleksowo we wszystkich warstwach systemu zabezpieczeń procesów przetwarzających dane kartowe:

organizacyjnej,
procesowej,
technicznej.

Podejście do analizy infrastruktury oparte jest o doświadczenie pracy jako audytor PCI DSS QSA oraz sposobu wykonywania przeglądów infrastruktury podczas audytów.

W ramach prac przeprowadzana jest weryfikacja infrastruktury PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:

analiza dokumentacji procesów wspomagających bezpieczeństwo przetwarzanych danych kartowych ,
sprawdzenie konfiguracji serwerów i aplikacji oraz aplikacji wspomagających bezpieczeństwo zgodnie z wymaganiami standardu PCI DSS,
analiza lokalizacji zabezpieczeń w sieci infrastruktury kartowej,
analiza dokumentacji i procesów na podstawie informacji przekazanych przez Państwa pracowników.

Nasza metodyka przygotowania infrastruktury do audytu PCI DSS zakłada przeprowadzenie prac w następujących krokach:

Krok 1 – analiza wstępna w celu identyfikacji głównych procesów biznesowych, miejsc przetwarzania danych kartowych, wykorzystywanych systemów informatycznych, wdrożonych rozwiązań organizacyjnych, procesowych oraz technicznych,

Krok 2 – identyfikacja zabezpieczeń wdrożonych w celu ochrony zasobów organizacji przetwarzających dane kartowe oraz weryfikacja ich kompletności z punktu widzenia wymagań PCI DSS,

Krok 3 – wdrożenie potrzebnych procesów, zmian w konfiguracji i dokumentacji wymaganej przez standard PCI DSS,

Krok 4 – wykonanie testów penetracyjnych, testów podatności systemów w sieci wewnętrznej i zewnętrznej. Przygotowanie infrastruktury do skanowania PCI ASV,

Krok 5 – wykonanie końcowego audytu PCI DSS z punktu widzenia audytora PCI DSS QSA,

Krok 6 – Pomoc podczas audytu PCI DSS, współpraca z audytorem PCI DSS QSA w zakresie spełnienia wymagań infrastruktury PCI DSS.

Prace są przeprowadzone w warstwie technicznej na podstawie analizy dokumentacji systemów w zakresie prac,
a także poprzez przegląd wybranych konfiguracji.

Oczekujemy od Państwa zapewnienie niezbędnych informacje dotyczące analizowanych rozwiązań, w tym dokumentację techniczną oraz schematy sieciowe, a także umożliwi odbycie spotkań z osobami odpowiedzialnymi za utrzymanie poszczególnych elementów systemów.

Analiza architektury bezpieczeństwa środowiska kartowego realizowana z perspektywy identyfikacji i analizy ryzyka dla procesów technologicznych.

W ramach prac przeprowadzana jest weryfikacja adekwatności oraz kompletności wdrożonych zabezpieczeń infrastruktury teleinformatycznej zgodnej z wymaganiami PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:

Analiza obecnej struktury organizacyjnej dla obszaru bezpieczeństwa PCI DSS.
Weryfikacja obecnych procesów wspierających bezpieczeństwo środowiska,

w tym:

Zarządzanie Ryzykiem,
Kontrola dostępu do systemów przetwarzających dane kartowe,
Zarządzanie incydentami,
Zarządzanie Zmianą i Konfiguracją,
Ochronę przed złośliwym oprogramowaniem,
Zarządzanie podatnościami systemów przetwarzających dane kartowe,
Plany Ciągłości Działania,
Analiza architektury bezpieczeństwa systemów,
Analiza architektury sieciowej na podstawie dokumentacji i informacji przekazanych przez Państwa pracowników,
Analiza sposobu separacji środowisk produkcyjnych oraz metod zabezpieczeń dostępu do środowisk produkcyjnych,
Analiza wykorzystywanych narzędzi monitorujących używanych w systemach kartowych,
Przegląd funkcji oraz skuteczności wykorzystania elementów infrastruktury bezpieczeństwa,
Analiza dokumentacji oprogramowania oraz rozwiązań zapewniających bezpieczeństwo środowiska kartowego.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Audyt

AUDYT PCI DSS

Telefon

+48 22 487 86 36

nFlo sp. z o.o.

ul. Ząbkowska 31,
03-736 Warszawa

Polityka prywatności

E-mail

biuro@nflo.pl