Przygotowanie do Certyfikacji PCI DSS
Payment Card Industry Data Security Standard (PCI DSS – https://www.pcisecuritystandards.org), to zestaw wymagań z obszaru bezpieczeństwa dla przedsiębiorstw, które przetwarzają dane z kart płatniczych i kredytowych.
W celu zapewnienia wysokiego poziomu bezpieczeństwa, stworzono spójny standard – Payment Card Industry Data Security Standard.
Przedsiębiorcy, którzy przyjmują płatności kartą lub prowadzą działalność e-commerce zobligowani są do corocznych audytów potwierdzających zgodność ze standardem. Wymagania dotyczą procesów przetwarzania płatności, infrastruktury oraz informacji płatniczych konsumentów.
Standard dotyczy dostawców usług płatniczych, jednostek handlowo-usługowych oraz banków. Konsekwencją nieprzestrzegania wymagań jest:
- brak możliwości obsługi kart płatniczych,
- komplikacje biznesowe oraz finansowe.
Organizacje, które m.in. wymagają zgodności ze standardem, to: Visa International, MasterCard, American Express, JCB International oraz Diners Club International.
Jest to norma, która ściśle określa wymagania, które muszą być spełnione przed jednostki, które zaangażowane są w proces przetwarzania danych z kart płatniczych. Podmiot gwarantujący standard PCI DSS potwierdza, iż organizacja posiada najwyższy stopień bezpieczeństwa w procesie przeprowadzania płatności.
nFlo oferuje wykonanie audytu zgodności systemów z wymogami PCI DSS. Przeprowadzamy testy bezpieczeństwa infrastruktury i aplikacji, wykazując ryzyka oraz raport, który zawiera rekomendacje prowadzące do zgodności ze standardem. Nasi konsultanci mogą poprowadzić również projekt, który pozwoli na przygotowanie środowiska w celu uzupełnienia wymagań zgodnych z normą i otrzymania certyfikacji w tym obszarze.
Opis usługi:
Przygotowanie infrastruktury do audytu PCI DSS wykorzystuje wymagania standardu PCI DSS w zakresie przetwarzania, przechowywania oraz przesyłania danych kartowych. Opierając się na kilkuletnim doświadczeniu jako audytor PCI DSS QSA przygotowujemy systemy, procesy i aplikację pod wymagania standardu PCI DSS, tak aby audyt przebiegł sprawnie, a systemy spełniały wymagania standardu PCI DSS.
Przegląd bezpieczeństwa wymagań PCI DSS realizowana jest kompleksowo we wszystkich warstwach systemu zabezpieczeń procesów przetwarzających dane kartowe:
- organizacyjnej,
- procesowej,
- technicznej.
Podejście do analizy infrastruktury oparte jest o doświadczenie pracy jako audytor PCI DSS QSA oraz sposobu wykonywania przeglądów infrastruktury podczas audytów.
W ramach prac przeprowadzana jest weryfikacja infrastruktury PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:
- analiza dokumentacji procesów wspomagających bezpieczeństwo przetwarzanych danych kartowych,
- sprawdzenie konfiguracji serwerów i aplikacji oraz aplikacji wspomagających bezpieczeństwo zgodnie z wymaganiami standardu PCI DSS,
- analiza lokalizacji zabezpieczeń w sieci infrastruktury kartowej,
- analiza dokumentacji i procesów na podstawie informacji przekazanych przez Państwa pracowników.
Nasza metodyka przygotowania infrastruktury do audytu PCI DSS zakłada przeprowadzenie prac w następujących krokach:
- Krok 1 – analiza wstępna w celu identyfikacji głównych procesów biznesowych, miejsc przetwarzania danych kartowych, wykorzystywanych systemów informatycznych, wdrożonych rozwiązań organizacyjnych, procesowych oraz technicznych,
- Krok 2 – identyfikacja zabezpieczeń wdrożonych w celu ochrony zasobów organizacji przetwarzających dane kartowe oraz weryfikacja ich kompletności z punktu widzenia wymagań PCI DSS,
- Krok 3 – wdrożenie potrzebnych procesów, zmian w konfiguracji i dokumentacji wymaganej przez standard PCI DSS,
- Krok 4 – wykonanie testów penetracyjnych, testów podatności systemów w sieci wewnętrznej i zewnętrznej. Przygotowanie infrastruktury do skanowania PCI ASV,
- Krok 5 – wykonanie końcowego audytu PCI DSS z punktu widzenia audytora PCI DSS QSA,
- Krok 6 – Pomoc podczas audytu PCI DSS, współpraca z audytorem PCI DSS QSA w zakresie spełnienia wymagań infrastruktury PCI DSS.
Prace są przeprowadzone w warstwie technicznej na podstawie analizy dokumentacji systemów w zakresie prac,a także poprzez przegląd wybranych konfiguracji.
Oczekujemy od Państwa zapewnienie niezbędnych informacje dotyczące analizowanych rozwiązań, w tym dokumentację techniczną oraz schematy sieciowe, a także umożliwi odbycie spotkań z osobami odpowiedzialnymi za utrzymanie poszczególnych elementów systemów.
Analiza architektury bezpieczeństwa środowiska kartowego realizowana z perspektywy identyfikacji i analizy ryzyka dla procesów technologicznych.
W ramach prac przeprowadzana jest weryfikacja adekwatności oraz kompletności wdrożonych zabezpieczeń infrastruktury teleinformatycznej zgodnej z wymaganiami PCI DSS. W tym celu powinny zostać przeprowadzone jako minimum następujące działania:
- Analiza obecnej struktury organizacyjnej dla obszaru bezpieczeństwa PCI DSS.
- Weryfikacja obecnych procesów wspierających bezpieczeństwo środowiska, w tym:
- Zarządzanie Ryzykiem,
- Kontrola dostępu do systemów przetwarzających dane kartowe,
- Zarządzanie incydentami,
- Zarządzanie Zmianą i Konfiguracją,
- Ochronę przed złośliwym oprogramowaniem,
- Zarządzanie podatnościami systemów przetwarzających dane kartowe,
- Plany Ciągłości Działania,
- Analiza architektury bezpieczeństwa systemów,
- Analiza architektury sieciowej na podstawie dokumentacji i informacji przekazanych przez Państwa pracowników,
- Analiza sposobu separacji środowisk produkcyjnych oraz metod zabezpieczeń dostępu do środowisk produkcyjnych,
- Analiza wykorzystywanych narzędzi monitorujących używanych w systemach kartowych,
- Przegląd funkcji oraz skuteczności wykorzystania elementów infrastruktury bezpieczeństwa,
- Analiza dokumentacji oprogramowania oraz rozwiązań zapewniających bezpieczeństwo środowiska kartowego.
Korzyści dla klienta:
Klienci zyskują profesjonalne wsparcie w dostosowaniu swoich systemów do wymogów PCI DSS, minimalizując ryzyko i zwiększając szanse na pomyślne przejście formalnego audytu certyfikacyjnego.
Dla kogo jest przeznaczona:
Usługa jest dedykowana dla organizacji przetwarzających dane kart płatniczych, które potrzebują wsparcia w procesie przygotowania do certyfikacji PCI DSS.
Kontakt:
Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.