Как пройти сертификацию PCI DSS
Продолжаем наш рассказ о стандарте PCI DSS — поговорим о процессе аудита.
Компания может пройти сертификацию двумя способами: самостоятельно или с помощью аудиторов. Первым из них могут воспользоваться только компании, обрабатывающие менее 20 тысяч платежей в год — достаточно заполнить специальные листы самооценки (SAQ). Во втором случае все проверки проводит сертифицированная организация.
Начинается аудит с теоретической части. Здесь оценивается актуальность внутренних политик безопасности и регламентов по ИБ, а также компетентность персонала аудируемой компании. Далее, оценивается надежность ИТ-инфраструктуры. Для этого проводится так называемое испытание на проникновение.
Аудиторы симулируют атаки на сети компании — проверяют работу антивирусов, файрволов и систем аутентификации. Если все тесты проходят успешно, то остается согласовать технические характеристики инфраструктуры с аудиторами (прописывается используемое программное обеспечение, параметры железа, топология сети и конфигурация операционных систем).
Если во время аудита обнаруживаются небольшие нарушения требований PCI DSS, их разрешается устранить «на месте». Если оперативно исправить положение не получается, то придется попытать счастья в другой раз.
Отметим, что IaaS-провайдеры помогают упростить процесс сертификации. Услуга PCI DSS хостинга дает клиентам возможность переложить на плечи провайдера задачи по защите сети и контролю физического доступа к оборудованию.
Продолжаем наш рассказ о стандарте PCI DSS — поговорим о процессе аудита.
Компания может пройти сертификацию двумя способами: самостоятельно или с помощью аудиторов. Первым из них могут воспользоваться только компании, обрабатывающие менее 20 тысяч платежей в год — достаточно заполнить специальные листы самооценки (SAQ). Во втором случае все проверки проводит сертифицированная организация.
Начинается аудит с теоретической части. Здесь оценивается актуальность внутренних политик безопасности и регламентов по ИБ, а также компетентность персонала аудируемой компании. Далее, оценивается надежность ИТ-инфраструктуры. Для этого проводится так называемое испытание на проникновение.
Аудиторы симулируют атаки на сети компании — проверяют работу антивирусов, файрволов и систем аутентификации. Если все тесты проходят успешно, то остается согласовать технические характеристики инфраструктуры с аудиторами (прописывается используемое программное обеспечение, параметры железа, топология сети и конфигурация операционных систем).
Если во время аудита обнаруживаются небольшие нарушения требований PCI DSS, их разрешается устранить «на месте». Если оперативно исправить положение не получается, то придется попытать счастья в другой раз.
Отметим, что IaaS-провайдеры помогают упростить процесс сертификации. Услуга PCI DSS хостинга дает клиентам возможность переложить на плечи провайдера задачи по защите сети и контролю физического доступа к оборудованию.