WhatsApp
Telegram
О компании
Услуги по добровольной и обязательной сертификации систем менеджмента, сертификация товаров и услуг для выхода на рынки Европы, США, Китая и других стран
У Вас есть вопросы?
Свяжитесь с нами удобным для Вас способом
Начните сертификацию вашей компании прямо сейчас
Введите ваши данные и мы свяжемся с вами в ближайшее время и расскажем все детали.
Разработаем документацию в соответствии с требованиями PCI/DSS для компаний, работающих с данными платёжных карт
Защита данных платёжных карт
Подготовить для Вас КП?
Если у вас есть вопросы по получению PCI/DSS, заполните форму заявки и наш менеджер вскоре свяжется с вами.
для соответствия требованиям поставщиков и партнёров
—
эксперт поддерживает на всех этапах сертификации
—
Что такое PCI/DSS?
Payment Card Industry Data Security Standard
PCI/DSS – это международная программа оценки, предназначенная для защиты данных платёжных карт. Она разработана крупнейшими платёжными системами, такими как Visa, MasterCard, American Express, Discover и JCB. Программа включает в себя 12 основных требований, которые помогают организациям обеспечивать безопасность платёжных данных при их обработке, хранении и передаче.
Основной целью PCI/DSS является предотвращение утечек данных платёжных карт и защита от финансовых и репутационных потерь.
Основной целью PCI/DSS является предотвращение утечек данных платёжных карт и защита от финансовых и репутационных потерь.
Зачем получать PCI DSS?
Повышайте доверие клиентов
Программа оценки PCI/DSS демонстрирует клиентам, что вы серьёзно относитесь к защите их данных.
Минимизируйте финансовые риски
Отсутствие соответствия PCI/DSS может привести к штрафам и лишению права обработки платёжных карт.
Защитите репутацию бизнеса
Система защиты данных PCI/DSS снижает риски негативного воздействия на репутацию в случае утечек данных.
Требования законодательства
В некоторых странах соблюдение требований PCI DSS является обязательным для компаний, работающих с платёжными картами.
В чём разница между ROC и SAQ?
ROC (Report on Compliance) и SAQ (Self-Assessment Questionnaire) — это два различных способа подтверждения соответствия стандарту PCI DSS, но они предназначены для разных типов компаний.
ROC (Report on Compliance)
ROC — это отчёт, который составляется после проведения аудита квалифицированным специалистом (квалифицированным аудитором, включённым в официальный реестр). Этот процесс используется обычно для крупных компаний, которые обрабатывают большой объём транзакций. Аудит включает детальное исследование всех процессов и систем компании для подтверждения её соответствия требованиям PCI/DSS.
SAQ (Self-Assessment Questionnaire)
SAQ — это анкета для самооценки, предназначенная для компаний с меньшим объёмом транзакций. Компании заполняют анкету самостоятельно, отвечая на вопросы, связанные с соблюдением требований PCI/DSS. Этот вариант подходит для тех организаций, которые могут пройти оценку без необходимости внешнего аудита.
Основные требования PCI/DSS
Существует 12 основных требований PCI DSS, которые охватывают различные аспекты безопасности данных:
- Используйте брандмауэры — защитите свои сети с помощью надежных фаерволов, чтобы ограничить доступ к данным о платёжных картах.
- Не используйте стандартные пароли — измените пароли и настройки по умолчанию, чтобы предотвратить легкий доступ к вашим системам.
- Защищайте данные, которые храните — используйте шифрование данных о платёжных картах.
- Шифруйте передачу данных — все данные, передаваемые по интернету, должны быть защищены с помощью шифрования.
- Регулярно обновляйте антивирусы — убедитесь, что антивирусное ПО на всех устройствах актуально и регулярно проверяет системы на наличие угроз.
- Создавайте безопасные системы и программы — следите за тем, чтобы ваши системы были защищены от уязвимостей, а программное обеспечение безопасно для использования.
- Ограничьте доступ к данным — только те сотрудники, которым это нужно для работы, должны иметь доступ к данным платёжных карт.
- Назначьте уникальные ID для сотрудников — каждому сотруднику должен быть присвоен уникальный идентификатор, чтобы можно было отслеживать его действия.
- Ограничьте физический доступ — обеспечьте физическую безопасность, чтобы посторонние не могли попасть в помещения, где хранятся данные о платёжных картах.
- Отслеживайте доступ к данным — записывайте все попытки доступа к данным о платёжных картах и регулярно проверяйте эти записи.
- Проводите регулярные проверки безопасности — периодически тестируйте свои системы на уязвимости и устраняйте их.
- Разработайте политику безопасности — создайте чёткие правила по защите данных и следите за их соблюдением всеми сотрудниками.
Поэтапная схема работы
1
Определение уровня соответствия
Эксперты определяют, какой уровень соответствия PCI/DSS необходим организации в зависимости от объема обработанных транзакций. Это поможет установить требования и подходы к проверке соответствия.
2
Оценка готовности
Этап включает в себя проведение сканирования ASV (Approved Scanning Vendor) для выявления уязвимостей в ваших системах. Также проводится тест на проникновение, в ходе которого независимая третья сторона имитирует атаку на ваши системы для проверки их защищенности.
3
Заполнение ROC/SAQ
В зависимости от размера компании и уровня соответствия, необходимо заполнить Self-Assessment Questionnaire (SAQ) или пройти через внешний аудит, составив Report on Compliance (ROC).
4
Поддержание соответствия и мониторинг
После того как проект завершён и соответствие установлено, важно регулярно обновлять отчёт о соответствии и поддерживать уровень безопасности.
Часто задаваемые вопросы
Существует четыре уровня соответствия PCI/DSS, которые зависят от количества транзакций с платёжными картами, обрабатываемых компанией ежегодно. Чем больше транзакций, тем более строгие требования безопасности и проверки.
Каждый уровень соответствия определяет, какие меры безопасности должны быть реализованы и как будет проходить проверка соответствия, что помогает компаниям эффективно организовывать защиту данных и соответствовать стандартам PCI/DSS.
- Уровень 1 предназначен для крупных компаний, которые обрабатывают более 6 миллионов транзакций в год. Для таких организаций требуется внешняя проверка, проводимая квалифицированным специалистом (QSA), и составление отчёта о соответствии (RoC). Также необходимо регулярно проводить сканирование систем на уязвимости.
- Уровень 2 касается компаний, обрабатывающих от 1 до 6 миллионов транзакций в год. Эти компании заполняют анкету для самооценки (SAQ) и подают подтверждение соответствия (AOC), а также проходят регулярные сканирования.
- Уровень 3 включает организации, которые обрабатывают от 20 000 до 1 миллиона транзакций в год. Для них также предусмотрены анкета самооценки и подтверждение соответствия, а также обязательные ежеквартальные сканирования.
- Уровень 4 касается малых компаний, которые обрабатывают менее 20 000 транзакций в год (для e-commerce) или до 1 миллиона транзакций (всего). Эти компании могут пройти самооценку и подать подтверждение соответствия, но требования к сканированию могут зависеть от требований их банка.
Каждый уровень соответствия определяет, какие меры безопасности должны быть реализованы и как будет проходить проверка соответствия, что помогает компаниям эффективно организовывать защиту данных и соответствовать стандартам PCI/DSS.
Отчёт о соответствии PCI/DSS или Анкета самооценки (в зависимости от уровня соответствия) выдается на срок один год. Это стандартная практика, и исключений не существует. Компаниям необходимо каждый год пересматривать свои процессы безопасности, проводить необходимые аудиты и тестирования, а также подавать обновлённые документы, чтобы гарантировать соблюдение актуальных требований PCI/DSS.
Не обновив отчёт или анкету самооценки, компания рискует утратить право на обработку платёжных карт, а также подвергнуться штрафам или другим санкциям со стороны платёжных систем.
Не обновив отчёт или анкету самооценки, компания рискует утратить право на обработку платёжных карт, а также подвергнуться штрафам или другим санкциям со стороны платёжных систем.
Для начала работы над проектом по соответствию PCI/DSS от клиента потребуется предоставить следующие документы:
- Анкета по оценке текущего состояния информационной безопасности — это документ, который помогает оценить существующие меры безопасности и выявить возможные уязвимости в системе.
- Перечень систем и процессов, связанных с обработкой данных платёжных карт#nbsp;— необходим для понимания, какие именно системы используются для обработки данных и как они взаимодействуют друг с другом в процессе обеспечения безопасности.
Продолжительность проекта по соответствию PCI/DSS зависит от уровня соответствия компании и степени готовности сотрудников. Обычно процесс занимает от 2 до 6 месяцев. Это время включает в себя оценку текущей информационной безопасности, устранение выявленных несоответствий, подготовку необходимой документации и прохождение аудита. Чем сложнее инфраструктура и выше уровень соответствия, тем больше времени может понадобиться для завершения проекта.
Мы всегда на связи
Остались вопросы по получению PCI/DSS? Свяжитесь с нами удобным для вас способом и наш менеджер поможет вам в их решении.
Связаться через мессенджер:
уЗНАЙТЕ СТОИМОСТЬ получения PCI/DSS
Введите ваши данные и мы свяжемся с вами в ближайшее время и расскажем все детали.