Внедрение PCI DSS

Практический стандарт безопасности, который применяется даже за пределами индустрии, для которой он был создан

Стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) был создан в 2004 году совместными усилиями главных брендов платежных карт (крупнейших международных платёжных систем): American Express, Visa, MasterCard, JCB и Discover для защиты от мошенничества с платежными картами и утечки данных.

Понимание соответствия PCI DSS

Практичность, лаконичность и авторитетная поддержка стандарта обусловили его распространение. Так, китайская международная платёжная система UnionPay, которая изначально не выполняла PCI DSS, стала стратегическим членом консорциума PCI, чтобы усиливать собственные и международные стандарты безопасности. Проверки соответствия PCI DSS интегрированы во многие комплексные системы безопасности и используются для самооценки даже за пределами индустрии платёжных карт.

PCI DSS

Спецификация соответствия PCI DSS описывает набор требований, которые должны соблюдать компании-участники международных платёжных систем, чтобы гарантировать принятие правильных мер для защиты всех данных, как внутренних, так и внешних.

Н-Х поможет вашей организации разработать и внедрить необходимые контроли безопасности и соответствовать требованиям стандарта.


Кто должен соответствовать PCI DSS?

Любая организация, которая принимает платежи по кредитным или дебетовым картам, должна соответствовать стандарту PCI DSS. Сюда входят продавцы, поставщики услуг и любые другие организации, которые обрабатывают, хранят или передают данные кредитных карт.

Типы предприятий, которые обычно нуждаются во внедрении PCI DSS:

1
Розничные продавцы
Любой бизнес, который принимает платежи кредитными или дебетовыми картами за товары или услуги, продаваемые в физическом магазине или через Интернет, должен соответствовать стандарту PCI DSS. Сюда входят как традиционные розничные продавцы, так и интернет-магазины.
2
Рестораны
Рестораны, принимающие платежи по кредитным или дебетовым картам от клиентов, должны соответствовать стандарту PCI DSS. Сюда входят как сидячие рестораны, так и заведения быстрого питания.
3
Гостиницы
Гостиницы, принимающие платежи по кредитным или дебетовым картам от гостей, должны соответствовать стандарту PCI DSS. Сюда входят как крупные сетевые отели, так и небольшие независимые отели.
4
Веб-сайты электронной коммерции
Любой бизнес, управляющий веб-сайтом электронной коммерции и принимающий платежи по кредитным или дебетовым картам, должен соответствовать стандарту PCI DSS. Сюда входят интернет-магазины, услуги на основе подписки и другие предприятия, которые принимают платежи через свой веб-сайт.
5
Поставщики медицинских услуг
Поставщики медицинских услуг, которые принимают платежи по кредитным или дебетовым картам от пациентов, должны соблюдать PCI DSS. Сюда входят больницы, поликлиники и отдельные практикующие врачи.
6
Поставщики услуг
Любой сторонний поставщик услуг, который обрабатывает транзакции по кредитным или дебетовым картам от имени другого предприятия, должен соответствовать стандарту PCI DSS. Сюда входят платежные шлюзы, хостинг-провайдеры и другие поставщики услуг, которые обрабатывают данные кредитных карт.

В целом, любая организация, которая принимает платежи по кредитным картам в любом качестве, должна быть готова соответствовать требованиям PCI DSS. Несоблюдение PCI DSS может привести к значительным штрафам, юридической ответственности и репутационному ущербу.

Преимущества соответствия стандарту PCI DSS

Соответствие стандарту PCI DSS дает ряд преимуществ, в том числе:

  • Улучшенная безопасность. Соответствие стандарту PCI DSS помогает обеспечить безопасную обработку конфиденциальных данных платежных карт, снижая риск утечки данных и мошенничества.
  • Повышение доверия клиентов: соответствие стандарту PCI DSS демонстрирует приверженность безопасности данных, повышая доверие клиентов и уверенность в организации.
  • Сокращение затрат. Внедряя элементы управления PCI DSS, организации могут снизить риск нарушений безопасности и связанные с этим расходы, такие как штрафы, судебные издержки и расходы на уведомление клиентов.
  • Конкурентное преимущество. Соответствие стандарту PCI DSS может обеспечить конкурентное преимущество, поскольку демонстрирует приверженность безопасности, что может выделить организацию среди конкурентов.

План внедрения:

1
Определение области охвата и разработка документации
  • Определение области охвата PCI DSS
  • Предоставление рекомендаций по внедрению информационных систем в соответствии с требованиями PCI DSS
  • Разработка политик управления процессами ИТ и ИБ в соответствии с PCI DSS
2
Внедрение процессов информационной безопасности
  • Внедрение процессов ИТ и ИБ для соответствия требованиям PCI DSS
  • Оценка рисков
  • Разработка процедур управления процессами ИТ и ИБ
  • Обучение персонала требованиям PCI DSS
3
Периодические технические мероприятия согласно PCI DSS
  • Сканирование сети Wi-Fi – ежеквартально
  • Тест сегментации сети – два раза в год
  • Сканирование внутренних уязвимостей – ежеквартально
  • Сканирование внешних уязвимостей ASV – ежеквартально
  • Внутренняя проверка соответствия требованиям PCI DSS – ежеквартально
4
Оценка безопасности (тест на проникновение) информационных систем в рамках PCI DSS
  • Внешний тест на проникновение – раз в год
  • Внутренний тест на проникновение – раз в год
  • Оценка уязвимостей и моделирование атак Wi-Fi – раз в год
  • Больше о тестах на проникновение.

Резюме сервиса

⏳ Продолжительность проекта

Как правило, от 6 до 12 месяцев для малого и среднего бизнеса и до 24 месяцев для крупных организаций.

🎁 Это бесплатно или с тестовым периодом?

Бесплатная консультация и первоначальный анализ бизнес-требований.

💼 Для какого бизнеса это нужно?

Финансовые учреждения, платежные системы, розничные продавцы, интернет-магазины и другие предприятия, обрабатывающие платежные карты.

💡 Когда нужна эта услуга?

Когда организация обрабатывает информацию о платежных картах. Бренды платежных карт, такие как Visa, требуют соблюдения требований либо напрямую, либо через банки.

📈 Ваша выгода

Снижение затрат, связанных с утечкой данных и штрафами, повышение доверия клиентов, что ведет к увеличению деловых возможностей и доходов.

⚙️ Наши методы и инструменты

Идентификация всей информации о платежных картах и платежных процессах, оценка рисков, внедрение мер безопасности и аудит соответствия.

📑 Результаты

Политика информационной безопасности, отчеты об оценке рисков, планы внедрения средств контроля безопасности и отчеты об аудите соответствия.

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа услуг аудита или внедрения PCI DSS, PA DSS или других стандартов PCI SSC. Получите бесплатную консультацию.

ЗАПРОСИТЬ ЦЕНУ

Бизнес-кейсы проектов, выполненых нами

Автоматизация бизнеса
Анализ безопасности исходных кодов программного обеспечения
Аудит смарт-контрактов и блокчейн
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)