PCI DSS Certified Provider

PCI DSS Certified Provider (сертифицированный провайдер PCI DSS) — организация, предоставляющая сервис PCI DSS и сертифицированная по стандарту.

Требования

Провайдер должен соответствовать требованиям, обеспечивающим безопасность хранения и обработки сведений о держателях банковских карт и транзакций. Для этого он обычно использует:

  1. межсетевой экран,
  2. антивирусное ПО,
  3. шифрование информации,
  4. криптографические средства защиты информации при передаче данных,
  5. разграничение прав доступа клиентов,
  6. администрирование и актуализация учетных записей пользователей,
  7. система мониторинга инфраструктуры клиента с автоматическим оповещением в случае обнаружения проблем или нарушений,
  8. регулярное сканирование и тестирование информационных систем провайдера,
  9. разработка и актуализация политики ИБ,
  10. физическая безопасность внутри ЦОДа провайдера.

Аудит

Для соответствия требованиям стандарта PCI DSS провайдеров ежегодно проверяют сторонние организации. Аудит занимает от 3 до 5 рабочих дней. Провайдера заранее оповещают о запланированной проверке, чтобы компания подготовила необходимые документы и рабочее место аудитора. Проверка состоит из нескольких этапов.

На первом провайдер предоставляет необходимую документацию. В нее входят регламенты, инструкции и политика ИБ.

На втором шаге проверяется инфраструктура. Провайдер должен отдельно выделить физически ту часть оборудования, которая предоставляет сервис PCI DSS. Также проверяется наличие актуальной схемы серверного и сетевого оборудования.

Третий этап — проведение пентеста для выявления уязвимостей на стороне организации. Он проводится в несколько этапов. В финальном отчете указываются уязвимости, если они были найдены.

На последнем этапе аудитор проверяет параметры оборудования, топологию сети, настройки операционных систем и виртуальных машин, изолированность инфраструктуры от общего ЦОДа.

По итогам проверки организации предоставляют отчет, в котором подробно указано соответствие или несоответствие каждому пункту требований. Если аудит пройден успешно, то провайдер получает сертификат PCI DSS со статусом QSA (Qualified Security Assessor).

PCI DSS Certified Provider — сертифицированный провайдер, который предоставляет конечным клиентам сервис PCI DSS. Аудит провайдера проводится ежегодно.