Впровадження PCI DSS

Практичний стандарт безпеки, який застосовується навіть за межами індустрії, для якої він був створений

Стандарт безпеки даних індустрії платіжних карт (Payment Card Industry Data Security Standard, PCI DSS) був створений у 2004 році спільними зусиллями головних брендів платіжних карток (найбільших міжнародних платіжних систем): American Express, Visa, MasterCard, JCB та Discover для захисту від шахрайства з платіжними картками та витоку даних.

Розуміння відповідності PCI DSS

Практичність, лаконічність і авторитетна підтримка стандарту зумовили його поширення. Так, китайська міжнародна платіжна система UnionPay, яка з самого початку не виконувала PCI DSS, стала стратегічним членом консорціуму PCI, щоб посилювати власні та міжнародні стандарти безпеки. Перевірки відповідності PCI DSS інтегровані в багато комплексних систем безпеки та використовуються для самооцінки навіть за межами індустрії платіжних карток.

PCI DSS

Специфікація відповідності PCI DSS описує набір вимог, яких повинні дотримуватися компанії-учасники міжнародних платіжних систем, щоб гарантувати прийняття правильних заходів для захисту всіх даних, як внутрішніх, так і зовнішніх.

Н-Х допоможе вашій організації розробити та впровадити необхідні контролі безпеки та відповідати вимогам стандарту.


Хто повинен відповідати PCI DSS?

Будь-яка організація, яка приймає платежі кредитною або дебетовою карткою, повинна відповідати стандарту PCI DSS. Це стосується продавців, постачальників послуг та будь-яких інших організацій, які обробляють, зберігають або передають дані кредитних карток.

Типи підприємств, які зазвичай потребують впровадження PCI DSS, включають:

1
Роздрібні продавці
Будь-яка компанія, яка приймає оплату кредитною або дебетовою карткою за товари чи послуги, що продаються у фізичному місці або в Інтернеті, повинна відповідати стандарту PCI DSS. Сюди входять традиційні звичайні торговці, а також онлайн-магазини.
2
Ресторани
Ресторани, які приймають від клієнтів оплату кредитною або дебетовою карткою, повинні відповідати стандарту PCI DSS. Сюди входять як ресторани з сидячими столами, так і заклади швидкого харчування.
3
Готелі
Готелі, які приймають від гостей оплату кредитною або дебетовою карткою, повинні відповідати PCI DSS. Це стосується як великих мережевих готелів, так і невеликих незалежних готелів.
4
Веб-сайти електронної комерції
Будь-яка компанія, яка керує веб-сайтом електронної комерції та приймає платежі кредитною або дебетовою карткою, повинна відповідати стандарту PCI DSS. Сюди входять інтернет-магазини, послуги на основі передплати та інші підприємства, які приймають платежі через свій веб-сайт.
5
Постачальники медичних послуг
Постачальники медичних послуг, які приймають платежі за допомогою кредитних або дебетових карток від пацієнтів, повинні дотримуватися PCI DSS. Це включає лікарні, поліклініки та окремих медичних працівників.
6
Постачальники послуг
Будь-який сторонній постачальник послуг, який обробляє транзакції кредитної або дебетової картки від імені іншої компанії, повинен відповідати PCI DSS. Це включає платіжні шлюзи, хостинг-провайдерів та інших постачальників послуг, які обробляють дані кредитних карток.

Загалом, будь-яка організація, яка приймає платежі кредитними картками в будь-якій якості, повинна бути готова відповідати вимогам PCI DSS. Недотримання PCI DSS може призвести до значних штрафів, юридичної відповідальності та шкоди репутації.

Переваги сумісності зі стандартом PCI DSS

Відповідність PCI DSS забезпечує кілька переваг, зокрема:

  • Покращена безпека: відповідність стандарту PCI DSS допомагає забезпечити безпечну обробку конфіденційних даних платіжних карток, зменшуючи ризик витоку даних і шахрайства.
  • Збільшення довіри клієнтів: відповідність PCI DSS демонструє прихильність до безпеки даних, збільшуючи довіру клієнтів і впевненість в організації.
  • Зменшення витрат: запровадивши засоби контролю PCI DSS, організації можуть зменшити ризик порушення безпеки та пов’язані з цим витрати, такі як штрафи, судові збори та витрати на сповіщення клієнтів.
  • Конкурентна перевага: відповідність PCI DSS може забезпечити конкурентну перевагу, оскільки демонструє прихильність до безпеки, що може виділити організацію серед її конкурентів.

План впровадження:

1
Визначення обсягу охоплення та розробка документації
  • Визначення обсягу охоплення PCI DSS
  • Надання рекомендацій щодо впровадження інформаційних систем відповідно до вимог PCI DSS
  • Розробка політик управління процесами ІТ та ІБ відповідно до PCI DSS
2
Впровадження процесів інформаційної безпеки
  • Впровадження процесів ІТ та ІБ для відповідності вимогам PCI DSS
  • Оцінка ризиків
  • Розробка процедур управління процесами ІТ та ІБ
  • Навчання персоналу вимогам PCI DSS
3
Періодичні технічні заходи згідно PCI DSS
  • Сканування мережі Wi-Fi – щоквартально
  • Тест сегментації мережі – два рази на рік
  • Сканування внутрішніх уразливостей – щоквартально
  • Сканування зовнішніх уразливостей ASV – щоквартально
  • Внутрішня перевірка відповідності вимогам PCI DSS – щоквартально
4
Оцінка безпеки (тест на проникнення) інформаційних систем у рамках PCI DSS
  • Зовнішній тест на проникнення – раз на рік
  • Внутрішній тест на проникнення – раз на рік
  • Оцінка вразливостей та моделювання атак Wi-Fi – раз на рік
  • Більше про тести на проникнення.

Резюме сервісу

⏳ Тривалість проєкту

Зазвичай, від 6 до 12 місяців для SMB і до 24 місяців для великих організацій.

🎁 Це може бути безкоштовним чи мати тестовий період?

Безкоштовна консультація та первинний аналіз бізнес-вимог.

💼 Для якого типу бізнесу це потрібно?

Фінансові установи, системи обробки платежів, роздрібні продавці, онлайн-продавці та інші підприємства, які обробляють платіжні картки.

💡 Коли потрібна ця послуга?

Коли організація обробляє інформацію платіжних карток. Бренди платіжних карток, як-от Visa, вимагають відповідності вимогам напряму або через банки.

📈 Ваша вигода

Зменшення витрат, пов’язаних із витоком даних і штрафами, підвищення довіри клієнтів, що сприяє збільшенню бізнес-можливостей і прибутку.

⚙️ Наші методи та інструменти

Ідентифікація всієї інформації платіжних карток та платіжних процесів, оцінка ризиків, впровадження засобів контролю безпеки та перевірки відповідності.

📑 Результати

Політика інформаційної безпеки, звіти про оцінку ризиків, плани впровадження заходів безпеки та звіти про аудит відповідності.

Ознайомтеся з нашими додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для замовлення послуг аудиту або впровадження PCI DSS, PA DSS або інших стандартів PCI SSC. Отримайте безкоштовну консультацію.

ЗАПРОСИТИ ЦІНУ

Бізнес-кейси проектів, виконаних нами

Автоматизація бізнесу
Аналіз безпеки вихідних кодів програмного забезпечення
Аудит смарт-контрактів та блокчейн
Аудити безпеки та тести на проникнення
Кейси з впровадження центру безпеки (Security Operations Center)
Керована безпека й комплаєнс (ISO 27001 тощо)
Реагування на інциденти та їх розслідування