Przygotowanie do Certyfikacji PCI DSS  

Payment Card Industry Data Security Standard (PCI DSS – https://www.pcisecuritystandards.org), to zestaw wymagań z obszaru bezpieczeństwa dla przedsiębiorstw, które przetwarzają dane z kart płatniczych i kredytowych.
W celu zapewnienia wysokiego poziomu bezpieczeństwa, stworzono spójny standard – Payment Card Industry Data Security Standard.
Przedsiębiorcy, którzy przyjmują płatności kartą lub prowadzą działalność e-commerce zobligowani są do corocznych audytów potwierdzających zgodność ze standardem. Wymagania dotyczą procesów przetwarzania płatności, infrastruktury oraz informacji płatniczych konsumentów.
Standard dotyczy dostawców usług płatniczych, jednostek handlowo-usługowych oraz banków. Konsekwencją nieprzestrzegania wymagań jest:

• brak możliwości obsługi kart płatniczych,
• komplikacje biznesowe oraz finansowe.

Organizacje, które m.in. wymagają zgodności ze standardem, to: Visa International, MasterCard, American Express, JCB International oraz Diners Club International.
Jest to norma, która ściśle określa wymagania, które muszą być spełnione przed jednostki, które zaangażowane są w proces przetwarzania danych z kart płatniczych. Podmiot gwarantujący standard PCI DSS potwierdza, iż organizacja posiada najwyższy stopień bezpieczeństwa w procesie przeprowadzania płatności.
nFlo oferuje wykonanie audytu zgodności systemów z wymogami PCI DSS. Przeprowadzamy testy bezpieczeństwa infrastruktury i aplikacji, wykazując ryzyka oraz raport, który zawiera rekomendacje prowadzące do zgodności ze standardem. Nasi konsultanci mogą poprowadzić również projekt, który pozwoli na przygotowanie środowiska w celu uzupełnienia wymagań zgodnych z normą i otrzymania certyfikacji w tym obszarze.

Opis usługi:

Przygotowanie infrastruktury do audytu PCI DSS wykorzystuje wymagania standardu PCI DSS w zakresie przetwarzania, przechowywania oraz przesyłania danych kartowych. Opierając się na kilkuletnim doświadczeniu jako audytor PCI DSS QSA przygotowujemy systemy, procesy i aplikację pod wymagania standardu PCI DSS, tak aby audyt przebiegł sprawnie, a systemy spełniały wymagania standardu PCI DSS.
Przegląd bezpieczeństwa wymagań PCI DSS realizowana jest kompleksowo we wszystkich warstwach systemu zabezpieczeń procesów przetwarzających dane kartowe:

• organizacyjnej,
• procesowej,
• technicznej.

Podejście do analizy infrastruktury oparte jest o doświadczenie pracy jako audytor PCI DSS QSA oraz sposobu wykonywania przeglądów infrastruktury podczas audytów.

W ramach prac przeprowadzana jest weryfikacja infrastruktury PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:

• analiza dokumentacji procesów wspomagających bezpieczeństwo przetwarzanych danych kartowych,
• sprawdzenie konfiguracji serwerów i aplikacji oraz aplikacji wspomagających bezpieczeństwo zgodnie z wymaganiami standardu PCI DSS,
• analiza lokalizacji zabezpieczeń w sieci infrastruktury kartowej,
• analiza dokumentacji i procesów na podstawie informacji przekazanych przez Państwa pracowników.

Nasza metodyka przygotowania infrastruktury do audytu PCI DSS zakłada przeprowadzenie prac w następujących krokach:

• Krok 1 – analiza wstępna w celu identyfikacji głównych procesów biznesowych, miejsc przetwarzania danych kartowych, wykorzystywanych systemów informatycznych, wdrożonych rozwiązań organizacyjnych, procesowych oraz technicznych,
• Krok 2 – identyfikacja zabezpieczeń wdrożonych w celu ochrony zasobów organizacji przetwarzających dane kartowe oraz weryfikacja ich kompletności z punktu widzenia wymagań PCI DSS,
• Krok 3 – wdrożenie potrzebnych procesów, zmian w konfiguracji i dokumentacji wymaganej przez standard PCI DSS,
• Krok 4 – wykonanie testów penetracyjnych, testów podatności systemów w sieci wewnętrznej i zewnętrznej. Przygotowanie infrastruktury do skanowania PCI ASV,
• Krok 5 – wykonanie końcowego audytu PCI DSS z punktu widzenia audytora PCI DSS QSA,
• Krok 6 – Pomoc podczas audytu PCI DSS, współpraca z audytorem PCI DSS QSA w zakresie spełnienia wymagań infrastruktury PCI DSS.

Prace są przeprowadzone w warstwie technicznej na podstawie analizy dokumentacji systemów w zakresie prac,a także poprzez przegląd wybranych konfiguracji.

Oczekujemy od Państwa zapewnienie niezbędnych informacje dotyczące analizowanych rozwiązań, w tym dokumentację techniczną oraz schematy sieciowe, a także umożliwi odbycie spotkań z osobami odpowiedzialnymi za utrzymanie poszczególnych elementów systemów.

Analiza architektury bezpieczeństwa środowiska kartowego realizowana z perspektywy identyfikacji i analizy ryzyka dla procesów technologicznych.
W ramach prac przeprowadzana jest weryfikacja adekwatności oraz kompletności wdrożonych zabezpieczeń infrastruktury teleinformatycznej zgodnej z wymaganiami PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:

• Analiza obecnej struktury organizacyjnej dla obszaru bezpieczeństwa PCI DSS.
• Weryfikacja obecnych procesów wspierających bezpieczeństwo środowiska, w tym:
  • Zarządzanie Ryzykiem,
  • Kontrola dostępu do systemów przetwarzających dane kartowe,
  • Zarządzanie incydentami,
  • Zarządzanie Zmianą i Konfiguracją,
  • Ochronę przed złośliwym oprogramowaniem,
  • Zarządzanie podatnościami systemów przetwarzających dane kartowe,
  • Plany Ciągłości Działania,
  • Analiza architektury bezpieczeństwa systemów,
  • Analiza architektury sieciowej na podstawie dokumentacji i informacji przekazanych przez Państwa pracowników,
  • Analiza sposobu separacji środowisk produkcyjnych oraz metod zabezpieczeń dostępu do środowisk produkcyjnych,
  • Analiza wykorzystywanych narzędzi monitorujących używanych w systemach kartowych,
  • Przegląd funkcji oraz skuteczności wykorzystania elementów infrastruktury bezpieczeństwa,
  • Analiza dokumentacji oprogramowania oraz rozwiązań zapewniających bezpieczeństwo środowiska kartowego.

Korzyści dla klienta:

Klienci zyskują profesjonalne wsparcie w dostosowaniu swoich systemów do wymogów PCI DSS, minimalizując ryzyko i zwiększając szanse na pomyślne przejście formalnego audytu certyfikacyjnego.

Dla kogo jest przeznaczona:

Usługa jest dedykowana dla organizacji przetwarzających dane kart płatniczych, które potrzebują wsparcia w procesie przygotowania do certyfikacji PCI DSS.