Payment Card Industry Data Security Standard (PCI DSS), to zestaw wymagań z obszaru bezpieczeństwa dla przedsiębiorstw, które przetwarzają dane z kart płatniczych i kredytowych.
W celu zapewnienia wysokiego poziomu bezpieczeństwa, stworzono spójny standard – Payment Card Industry Data Security Standard.
Przedsiębiorcy, którzy przyjmują płatności kartą lub prowadzą działalność e-commerce zobligowani są do corocznych audytów potwierdzających zgodność ze standardem. Wymagania dotyczą procesów przetwarzania płatności, infrastruktury oraz informacji płatniczych konsumentów.
Standard dotyczy dostawców usług płatniczych, jednostek handlowo-usługowych oraz banków. Konsekwencją nieprzestrzegania wymagań jest:
- brak możliwości obsługi kart płatniczych,
- komplikacje biznesowe oraz finansowe.
Organizacje, które m.in. wymagają zgodności ze standardem, to: Visa International, MasterCard, American Express, JCB International oraz Diners Club International.
Jest to norma, która ściśle określa wymagania, które muszą być spełnione przed jednostki, które zaangażowane są w proces przetwarzania danych z kart płatniczych. Podmiot gwarantujący standard PCI DSS potwierdza, iż organizacja posiada najwyższy stopień bezpieczeństwa w procesie przeprowadzania płatności.
nFlo oferuje wykonanie audytu zgodności systemów z wymogami PCI DSS. Przeprowadzamy testy bezpieczeństwa infrastruktury i aplikacji, wykazując ryzyka oraz raport, który zawiera rekomendacje prowadzące do zgodności ze standardem. Nasi konsultanci mogą poprowadzić również projekt, który pozwoli na przygotowanie środowiska w celu uzupełnienia wymagań zgodnych z normą i otrzymania certyfikacji w tym obszarze.
AUDYT PCI DSS
Przygotowanie infrastruktury do audytu PCI DSS wykorzystuje wymagania standardu PCI DSS w zakresie przetwarzania, przechowywania oraz przesyłania danych kartowych. Opierając się na kilkuletnim doświadczeniu jako audytor PCI DSS QSA przygotowujemy systemy, procesy i aplikację pod wymagania standardu PCI DSS, tak aby audyt przebiegł sprawnie, a systemy spełniały wymagania standardu PCI DSS.
Przegląd bezpieczeństwa wymagań PCI DSS realizowana jest kompleksowo we wszystkich warstwach systemu zabezpieczeń procesów przetwarzających dane kartowe:
- organizacyjnej,
- procesowej,
- technicznej.
Podejście do analizy infrastruktury oparte jest o doświadczenie pracy jako audytor PCI DSS QSA oraz sposobu wykonywania przeglądów infrastruktury podczas audytów.
W ramach prac przeprowadzana jest weryfikacja infrastruktury PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:
- analiza dokumentacji procesów wspomagających bezpieczeństwo przetwarzanych danych kartowych ,
- sprawdzenie konfiguracji serwerów i aplikacji oraz aplikacji wspomagających bezpieczeństwo zgodnie z wymaganiami standardu PCI DSS,
- analiza lokalizacji zabezpieczeń w sieci infrastruktury kartowej,
- analiza dokumentacji i procesów na podstawie informacji przekazanych przez Państwa pracowników.
Nasza metodyka przygotowania infrastruktury do audytu PCI DSS zakłada przeprowadzenie prac w następujących krokach:
Krok 1 – analiza wstępna w celu identyfikacji głównych procesów biznesowych, miejsc przetwarzania danych kartowych, wykorzystywanych systemów informatycznych, wdrożonych rozwiązań organizacyjnych, procesowych oraz technicznych,
Krok 2 – identyfikacja zabezpieczeń wdrożonych w celu ochrony zasobów organizacji przetwarzających dane kartowe oraz weryfikacja ich kompletności z punktu widzenia wymagań PCI DSS,
Krok 3 – wdrożenie potrzebnych procesów, zmian w konfiguracji i dokumentacji wymaganej przez standard PCI DSS,
Krok 4 – wykonanie testów penetracyjnych, testów podatności systemów w sieci wewnętrznej i zewnętrznej. Przygotowanie infrastruktury do skanowania PCI ASV,
Krok 5 – wykonanie końcowego audytu PCI DSS z punktu widzenia audytora PCI DSS QSA,
Krok 6 – Pomoc podczas audytu PCI DSS, współpraca z audytorem PCI DSS QSA w zakresie spełnienia wymagań infrastruktury PCI DSS.
Prace są przeprowadzone w warstwie technicznej na podstawie analizy dokumentacji systemów w zakresie prac,
a także poprzez przegląd wybranych konfiguracji.
Oczekujemy od Państwa zapewnienie niezbędnych informacje dotyczące analizowanych rozwiązań, w tym dokumentację techniczną oraz schematy sieciowe, a także umożliwi odbycie spotkań z osobami odpowiedzialnymi za utrzymanie poszczególnych elementów systemów.
Analiza architektury bezpieczeństwa środowiska kartowego realizowana z perspektywy identyfikacji i analizy ryzyka dla procesów technologicznych.
W ramach prac przeprowadzana jest weryfikacja adekwatności oraz kompletności wdrożonych zabezpieczeń infrastruktury teleinformatycznej zgodnej z wymaganiami PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:
- Analiza obecnej struktury organizacyjnej dla obszaru bezpieczeństwa PCI DSS.
- Weryfikacja obecnych procesów wspierających bezpieczeństwo środowiska,
w tym:
- Zarządzanie Ryzykiem,
- Kontrola dostępu do systemów przetwarzających dane kartowe,
- Zarządzanie incydentami,
- Zarządzanie Zmianą i Konfiguracją,
- Ochronę przed złośliwym oprogramowaniem,
- Zarządzanie podatnościami systemów przetwarzających dane kartowe,
- Plany Ciągłości Działania,
- Analiza architektury bezpieczeństwa systemów,
- Analiza architektury sieciowej na podstawie dokumentacji i informacji przekazanych przez Państwa pracowników,
- Analiza sposobu separacji środowisk produkcyjnych oraz metod zabezpieczeń dostępu do środowisk produkcyjnych,
- Analiza wykorzystywanych narzędzi monitorujących używanych w systemach kartowych,
- Przegląd funkcji oraz skuteczności wykorzystania elementów infrastruktury bezpieczeństwa,
- Analiza dokumentacji oprogramowania oraz rozwiązań zapewniających bezpieczeństwo środowiska kartowego.