Услуги

Подготовка к PCI DSS

Для получения сертификата соответствия PCI DSS 3.0 компаниям, работающим с международными платежными системами Visa и Mastercard, необходимо соответствовать требованиям стандарта. Такие требования включают в себя следующие процедуры:

  • ежемесячное обновление (проверку) компонентов безопасности;
  • ежемесячное обновление (проверку) системных компонентов серверов;
  • ежеквартальное внешнее ASV-сканирование;
  • ежеквартальный анализ беспроводных сетей;
  • ежеквартальное внутреннее сканирование;
  • ежегодный внутренний и внешний тест на проникновение;
  • ежегодная идентификация новых угроз и пересмотр политик ИБ;
  • ежегодное обучение (инструктаж) сотрудников отдела ИБ;
  • ежегодный анализ общедоступных ВЕБ-приложений;
  • раз в пол года пересмотр правил межсетевых экранов и маршрутизаторов;
  • ежегодный просмотр и контроль работоспособности систем видео-наблюдения;
  • ежегодное тестирование плана реагирования на инциденты ИБ.

Состав работ для получения сертификата соответствия PCI DSS 3.0 (level 2-4)
  • Проведение аудита инфраструктуры клиента на соответствие требованиям стандарта:
    •       построение и обслуживание защищенной сети и систем;
    •       защита данных держателей карт;
    •       программа управления уязвимостями;
    •       внедрение строгих мер контроля доступа;
    •       регулярный мониторинг и тестирование сети;
    •       поддержка политики информационной безопасности.
  • Формирование отчета со всеми выявленными несоответствиями (check-list).
  • Предоставление клиенту рекомендаций по изменениям в инфраструктуре для достижения соответствия PCI DSS 3.0.
  • Исправление всех несоответствий в инфраструктуре клиента.
  • Проведение финальной проверки на соответствие требованиям всей инфраструктуры после сделанных изменений.
  • Заполнение SAQ-листа (Self-Assessment Questionnaire) вместе с клиентом.

Состав работ по поддержанию соответствия стандарта PCI DSS 3.0 (level 2-4):
  • пересмотр правил брандмауэров (ежеквартально);
  • внешний скан asv-вендором (ежеквартально);
  • внутренний скан всех систем (ежеквартально);
  • обнаружение беспроводных сетей организации и доступа к ним (ежеквартально);
  • пересмотр оценок соответствия в связи с изменениями (ежегодно);
  • обновление политик безопасности (ежегодно);
  • подтверждение донесения до персонала правил безопасности (ежегодно).

Наши специалисты готовы выполнить все процедуры, необходимые для получения компанией-заказчиком сертификата соответствия PCI DSS 3.0. Выполнение работ может производится как силами сотрудников «CyberSec», так и совместно с отделом информационной безопасности компании-заказчика. Стоимость услуг зависит от объема работ и определяется на основании технического задания.