rechtsanwalt    
8 (800) 777-34-76 ещё телефоны

г. Краснодар ул. Восточно-Кругликовская 24

+380443928644

г. Харьков, Полтавский шлях 296 А

+3726680306

Harju maakond, Tallin, Keshkina linnaosa, Endia tn 4, 10142

Доставка по России и СНГ Оплата картами
Доставка документов по России и странам СНГ | Принимаем карты оплаты
ПОСМОТРЕТЬ СОДЕРЖАНИЕ СТАТЬИ ▼

    Что такое PCI DSS

    РСІ DSS (Рауmеnt Cаrd Іndustrу Dаtа Sесuritу Stаndаrd) - это cтaндapт бeзoпaснoсти дaнныx индустpии плaтeжныx кapт.

    Данный стандарт был разработан международными платежными системами Visa, MasterCard и др.

    Вы спросите, зачем нужен такой стандарт?
    Ответ банально прост. С появлением Интернта, банковские карты, стали золотой жилой для киберпреступности. Заполучив данные платежной карты, мошенники с легкостью могут воспользоваться ими. Поэтому был разработан стандарт РСІ DSS, обеспечивающий сохранность персональных данных пользователей и предотвращающий хищения конфиденциальных сведений при оплате.

    ТРЕБОВАНИЯ СТАНДАРТА PCI DSS

    Для соответствия стандарту PCI DSS необходимо полностью соблюдать требования, которые представлены ниже в 12 разделах. Соответствие стандарту подразумевает комплекс мер безопасности на каждом этапе работы с платежными картами, от момента получения данных до их хранения на базах данных компании.

    Требования стандарта РСІ DSS:

    1. 1. Защита информации в компьютерной сети
    2. 2. Конфигурация компонентов информационной инфраструктуры
    3. 3. Защита хранимых данных о держателях карт
    4. 4. Защита передаваемых данных о держателях карт
    5. 5. Антивирусная защита информационной инфраструктуры
    6. 6. Разработка и поддержка информационных систем
    7. 7. Управление доступом к данным о держателях карт
    8. 8. Механизмы проверки подлинности
    9. 9. Физическая защита информационной инфраструктуры
    10. 10. Протоколирование событий и действий
    11. 11. Контроль защищённости информационной инфраструктуры
    12. 12. Управление информационной безопасностью

    КАК ПРОИСХОДИТ ПРОВЕРКА НА СООТВЕТСТВИЕ СТАНДАРТУ

    В общих чертах, проверка на соответствие стандарта РСІ DSS происходит только при помощи аудиторской компании, которые аккредитованы специальным Советом Payment CardIndustry Security Standards Council (PCI SSC).

    Компаниям, имеющим аккредитацию, присваивают определенный статус QSA (Qualified Security Assessor). Только наличие аккредитации позволяет проводить аудиты.

    По сути, процесс проверки на соответствие стандарту РСІ DSS подобен аудиту любого информационного продукта. Но принципиально важно, чтобы аудирование проводилось специалистами, которые работают непосредственно с данными платежных карт в рамках аудируемой компании.

    ЧТО ИМЕННО ПРОВЕРЯЮТ?

    Все аспекты проверки описать очень сложно, т.к. стандарт включает в себя проверку порядка 440 позиций.

    Естественно, это довольно продолжительная процедура. Необходимо проверить все: от программной части, до компетентности специалистов компании .

    Проверку осуществляет аудитор, имеющий полномочия в данном направлении и статус QSA (Quаlіfіеd Sуcurіtу Аssessоr ) Статус подтверждается Советом PCI SSC.

    Выборочно проверяется программный код библиотек, достаточно внимания уделяется ядру обработки информации и данных платежных карт. При этом акцент фокусируется на соответсвии внешнему стандарту безопасности ОWАSР, который описывает главные требования к поиску и исключению уязвимости и ошибок в коде. В бизнес-процессе разработки имеется звено Cоdе Rеvіew, которое аудируется другим разработчиком, не принимающим участия в самом написании кода.

    В рамках требований PCI DSS, все взаимоотношения и ответственность между сервис-провайдерами, а именно между процессинговым центром и датацентром, а также банками-эквайерами, фиксируются в так называемых матрицах ответственности.

    Все остальные компоненты системы сервера и сетевое оборудование проходят запланированную проверку. В этой ситуации, главным требованием остается актуальность PCI DSS, которая напрямую зависит от количества изменений программного оборудования, конфигураций оборудования и виртуальных машин. Админы должны проводить аудит системы на предмет поиска ее уязвимостей, как внутренних так и внешних. И приводить их в соответсвие стандарту PCI DSS.

    Аудит безопасности выполняется дважды. Первичный этап проводит организация имеющая сертификат ASV (Approved Scanning Vendor), при помощи автоматического сканера для выявления распространенных «слабых сторон». Успешное прохождение данного этапа, означает переход к следующему этапу.

    Второй этап более сложный и проверяется непосредственно экспертами в ручном режиме. Результаты проверки фиксируются в официальном заключении.

    4 УРОВНЯ СЕРТИФИКАЦИИ PCI DSS

    Существует четыре уровня сертификации РСІ DSS. Основным отличием между уровнями, является количество обрабатывающих транзакций:

    - 4-ый уровень предполагает обработку до 20000 транзакций в год.

    Что бы повторно пройти сертификацию необходимо каждый квартал проводить сканирование внешних адресов на наличие уязвимостей (ASV-сканирование). Полученные данные вносятся в лист самооценки (Annual Self-Assessment Questionnaire, SAQ).

    - 3-ий уровень позволяет обрабатывать от 20000 до 1 миллиона транзакций в год.

    Для прохождения сертификации, так же как и в предыдущем уровне требуется ежеквартальное ASV- сканирование и заполнение SAQ .

    - 2-ой уровень позволяет обрабатывать от 1 до 6 миллионов транзакций в год.

    Условия прохождения сертификации идентичны выше перечисленным уровням. Однако для заполнения SAQ сотрудники компании должны пройти обучающий спец-тренинг или привлечь компанию аудитора (PCI QSA).

    - 1-ый уровень позволяет обрабатывать от 6 миллионов транзакций в год. Сертификация соответствия проводится только с помощью привлечения независимого аудитора (QSA). Данная процедура проводит обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту, консультационную поддержку при внедрении.

    СОВЕТЫ

    Практически каждая компания, предоставляющая услуги процессинга, приходит к пониманию необходимости сертификации. Только сертифицированные поставщики услуг помогут осуществить проверку на соответствие стандарта РСІ DSS и гарантировано обеспечить защиту данных компании.

     

    Подпишитесь на наш Телеграм канал RechtsanwaltТелеграм канал и расскажите о нем знакомым в бизнесе


    Оформите заявку

    на бесплатную консультацию прямо сейчас
    или позвоните нам: 8 (800) 505 07 64

    Налоги в США: виды и структура. Сравнение налогов в России и США

    Дата: 2018-12-01

    Налоги в США Налоговая система в USA работает в нескольких направлениях и взимается в трех уровнях. Исходя из этого, один человек может сразу выплачивать несколько видов подоходного налога, а так же несколько видов налога на имущество. Федеральное налогообложение, налоги штатов и местные налоги имеют свои особенности и принципы. Что представляет собой налоговая система в США США состоит из 50...

    Мерчант – что это такое простыми словами | Rechtsanwalt

    Дата: 2018-06-30

    Что такое мерчант-аккаунт простыми словами Особый вид счета, который позволяет принимать оплату за товары/услуги с банковских карточек и счетов через интернет, называется мерчант аккаунтом. Он способен обрабатывать тысячи операций за минуту, и имеет интерфейс, при помощи которого клиенты вводят данные своих банковских карт и оплачивают ними покупки. Компания, которая принимает оплату на веб-са...

    Маркетинг для ICO-проектов – как правильно привлекать инвесторов | Rechtsanwalt

    Дата: 2018-06-25

    Маркетинг для ICO Комплекс мероприятий, целью которых является продвижение и популяризация ICO стартапа среди целевой аудитории называют ICO-маркетингом. Эффективная маркетинговая компания должна решить две основных задачи: заявить о проекте и привлечь в него инвесторов. Из чего состоит Маркетинг для ICO Маркетинговая стратегия для ICO включает: позиционирование стартапа; запуск веб-сайта...

    Как открыть бизнес в Дубае? Какой бизнес можно открыть в Эмиратах

    Дата: 2017-02-06

    Как открыть бизнес в Дубае? Сегодня многих российских бизнесменов интересует вопрос, как открыть собственный бизнес в Дубае? Арабские Эмираты в целом и Дубай в частности привлекают предпринимателей со всего мира, в первую очередь: высокие показатели уровня жизни; быстрые темпы роста экономики; развитая строительная сфера. Грамотно выстроенная политика открытия бизнеса и веде...

    Ликвидация фирмы через оффшорную компанию

    Дата: 2015-06-08

    Ликвидация фирмы через оффшорную компанию Преимущества: перевод фирмы с долгами на иностранного инвестора обеспечение реалистичности сделки краткие сроки исполнения заказа перевод всех рисков в оффшорную юрисдикцию ликвидация происходит без привлечения номиналов Ликвидация через оффшор – самый законный альтернативный способ На сегодняшний день это единственный...

    Как открыть бизнес в Эмиратах | Rechtsanwalt

    Дата: 2018-07-10

    Как открыть бизнес в Эмиратах Современные ОАЭ имеют заслуженную репутацию государства с огромным экономическим потенциалом и прекрасными возможностями для ведения успешной коммерческой деятельности, в частности иностранцами. Эта страна славится развитой структурой коммуникаций, качественными дорогами, шикарными отелями и ультрасовременными бизнес-центрами. Эти и другие преимущества с каждым го...

    БЫСТРЫЙ РАСЧЕТ СТОИМОСТИ

    С нами работают

    Роснефть
    Газпром
    FortUkraine
    КИТФинанс
    Яндекс.Метрика