Платежные карты (PCI DSS)

Стандарт защиты информации в индустрии платежных карт (PCI DSS - Payment Card Industry Data Security Standard) является набором требований к безопасности данных владельцев (держателей) карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover с целью повышения защищенности электронных торговых и платежных систем.

 

Стандарт PCI DSS является обязательным практически во всем мире. Действие стандарта распространяется на всех операторов персональных данных, передающих, обрабатывающих и хранящих данные владельцев (держателей) платежных карт.

 

Согласно требованиям стандарта для ряда организаций (таких как мерчанты (торгово-сервисные предприятия), поставщики услуг (service providers), работающие с международными платежными системами) обязателен ежегодный аудит с привлечением сертифицированной аудиторской компании (QSA).

 

Непрохождение компанией обязательной ежегодной процедуры аудита может повлечь за собой штрафные санкции со стороны международных платежных систем. Невыполнение требований стандарта PCI DSS может привести к значительным убыткам в случае возникновения утечки персональных данных владельцев (держателей) платежных карт, связанным с возмещением затрат на перевыпуск платежных карт всех банков, клиенты которых пострадали или могли пострадать в результате утечки.

 

При проведении аудита на соответствие стандарту PCI DSS выполняются следующие работы:

  • подготовка и планирование аудита PCI DSS:
    • получение и анализ документов;
    • определение области контроля, и состава ресурсов сегмента обработки платежных карт;
    • планирование и согласование времени проведения проверок, задействованных в них сотрудников Клиента, для минимизации воздействия на бизнес процессы Клиента;
  • проведение проверок согласно утвержденным процедурам аудита PCI DSS:
    • сбор информации по техническим проверкам;
    • анализ информации по техническим проверкам;
    • сбор и анализ информации для процессных проверок;
  • анализ результатов, формирование предварительного Отчета о соответствии требованиям стандарта PCI DSS:
    • обобщение и компоновка результатов;
    • контроль результатов выполнения проверок;
    • формирование предварительного Отчета о соответствии;
  • презентация Клиенту предварительного Отчета о соответствии требованиям стандарта PCI DSS:
    • предоставление Клиенту результатов аудита, с аргументацией оценок о несоответствии (в случае их наличия);
    • ответы на вопросы клиента о проведенных проверках;
    • согласование дальнейших действий по формированию окончательного Отчета;
  • согласование с Клиентом и формирование окончательного Отчета по результатам аудита PCI DSS:
    • окончательное оформление документа, детализация описаний и методов проверок, контроль ссылок на свидетельства аудита;
    • согласование с Клиентом спорных вопросов;
    • выработка рекомендаций, формирование Action plan (плана действий);
  • уведомление международной платежной системы о результатах аудита PCI DSS:
    • при заключении о соответствии организации требованиям PCI DSS -  отправка результата проведения аудита и английской версии отчета;
    • при заключении о несоответствии организации требованиям PCI DSS -  отправка предоставленного и согласованного Action plan.

 

Аудит согласно требованиям PCI DSS производится по следующим направлениям:

  • построение и поддержка безопасности сети;
  • защита данных держателей карт;
  • поддержка программы управления уязвимостями;
  • реализация мер по строгому контролю доступа;
  • регулярный мониторинг и тестирование сетей;
  • поддержка политики защиты информации.

 

В результате прохождения аудита на соответствие требованиям стандарта PCI DSS организация получает следующие основные выгоды:

  • прохождение обязательной процедуры аудита на соответствие требованиям PCI DSS, требуемой международными платежными системами;
  • формирование общественного мнения о честном имени и стабильном положении компании на рынке и как следствие повышение доверия со стороны потребителей;
  • предотвращение и/или снижение рисков от инцидентов связанных с информационной безопасностью;
  • рост клиентской базы и бизнеса в целом;
  • снижение рисков от возможного разглашения конфиденциальной информации
  • повышение осведомленности персонала аудируемой компании в вопросах обеспечения информационной безопасности.