PCI DSS Certified Provider
PCI DSS Certified Provider (сертифицированный провайдер PCI DSS) — организация, предоставляющая сервис PCI DSS и сертифицированная по стандарту.
Требования
Провайдер должен соответствовать требованиям, обеспечивающим безопасность хранения и обработки сведений о держателях банковских карт и транзакций. Для этого он обычно использует:
- межсетевой экран,
- антивирусное ПО,
- шифрование информации,
- криптографические средства защиты информации при передаче данных,
- разграничение прав доступа клиентов,
- администрирование и актуализация учетных записей пользователей,
- система мониторинга инфраструктуры клиента с автоматическим оповещением в случае обнаружения проблем или нарушений,
- регулярное сканирование и тестирование информационных систем провайдера,
- разработка и актуализация политики ИБ,
- физическая безопасность внутри ЦОДа провайдера.
Аудит
Для соответствия требованиям стандарта PCI DSS провайдеров ежегодно проверяют сторонние организации. Аудит занимает от 3 до 5 рабочих дней. Провайдера заранее оповещают о запланированной проверке, чтобы компания подготовила необходимые документы и рабочее место аудитора. Проверка состоит из нескольких этапов.
На первом провайдер предоставляет необходимую документацию. В нее входят регламенты, инструкции и политика ИБ.
На втором шаге проверяется инфраструктура. Провайдер должен отдельно выделить физически ту часть оборудования, которая предоставляет сервис PCI DSS. Также проверяется наличие актуальной схемы серверного и сетевого оборудования.
Третий этап — проведение пентеста для выявления уязвимостей на стороне организации. Он проводится в несколько этапов. В финальном отчете указываются уязвимости, если они были найдены.
На последнем этапе аудитор проверяет параметры оборудования, топологию сети, настройки операционных систем и виртуальных машин, изолированность инфраструктуры от общего ЦОДа.
По итогам проверки организации предоставляют отчет, в котором подробно указано соответствие или несоответствие каждому пункту требований. Если аудит пройден успешно, то провайдер получает сертификат PCI DSS со статусом QSA (Qualified Security Assessor).
PCI DSS Certified Provider — сертифицированный провайдер, который предоставляет конечным клиентам сервис PCI DSS. Аудит провайдера проводится ежегодно. За консультацией в сфере интернет-безопасности вы можете обратиться к экспертам компании TrustSpace