Инвестиции на коленке

попытка непрофессионала самостоятельно заработать на финансовых инструментах



Защита банковских карт — стандарт PCI DSS что это и зачем он нужен.

09 Июл 2009 рубрика: Америка, карточки

skan_b
В финансовой среде довольно активно обсуждается тема сертификации по стандарту PCI DSS. Стандарт PCI DSS (Payment Card Industry Data Security Standard) был разработан в 2005 г. при участии ведущих мировых платежных систем VISA, Master Card, Discover, American Express, Dinners Club и JCB. Организацией Privacy Rights Clearinghouse.org, начиная с января 2005 года было зафиксировано 234 млн. случаев украденных данных о платежных картах и их держателях, в последующем использование этих данных для хищения денежных средств. Основное внимание стандарта уделено обеспечению высокого уровня информационной безопасности пластиковых карт на всех этапах их существования: хранения, обработки и пересылки.
До 2009 года PCI DSS носил рекомендательный характер и организации попадавшие под его требования сами выбирали переходить на него или нет. Теперь эти организации будут подвергаться ежемесячным штрафам, а впоследствии и не будут иметь возможности обрабатывать транзакции всех перечисленных выше платежных систем.
В первую очередь требования стандарта распространяются на финансовые организации, обрабатывающие транзакции, связанные с платежными картами; торговые организации, принимающие платежи, осуществляемые пластиковыми картами; телеком-провайдеры участвующие в процессе обработки транзакций.
Стандарт PCI DSS состоит из 12 требований, каждое из которых отвечает за определенную область, связанную с обеспечением безопасности данных о держателях и самих платежных пластиковых картах. Эти требования выработаны на основе мирового опыта в области защиты информации. В основном они регламентируют доступ и правила обработки критичных данных. Пристальное внимание уделяется и организационной стороне безопасности, затрагиваются вопросы обслуживания и управления элементами информационной инфраструктуры, которые имеют отношение к работе с этими данными.


Для соблюдения требований стандарта разработан процесс сертификации по PCI DSS, который выполняется только сертифицированными организациями, имеющими статус QSA (Qualified Security Assessor), и состоит из нескольких фаз.
С начало присходит начальное обследование, результатом которого становятся отчет о найденных несоответствиях и рекомендации по их устранению. Затем совместно с QSA сертифицируемая организация разрабатывает практический план по устранению несоответствий, с указанием конкретных этапов и сроков. После утверждения этого плана обеими сторонами компания получает время на его реализацию. Сроки, за которые должны быть сделаны исправления, зависят от типа и степени несоответствий, а также от масштаба организации, эта процедура может занять от нескольких месяцев до нескольких лет. В этот процесс может входить — внешнее сканирование уязвимостей и внешние тесты на проникновение. Эти процессы также должны проводить только сертифицированные организации, имеющие статус ASV (Approved Scanning Vendor).
Заключительная фаза — проверка консультантами QSA сделанных изменений и финальный аудит. Делается это непосредственно у заказчика, для того чтобы консультанты QSA были уверены, что все изменения действительно сделаны и состояние соответствия требованиям стандарта достигнуто.
Если все в порядке, то QSA формирует ROC (Report Of Compliance), который отправляет в соответствующую инстанцию платежной системы. После чего выдается соответствующий сертификат.
Но важно не только сертифицироваться по PCI DSS, но и постоянно поддерживать состояние соответствия ему, поэтому далее этот процесс становиться циклическим. Раз в квартал проводиться внешнее сканирование, а раз в год – аудит.

P.S.

Ветеринарная клиника «Биоконтроль» основана 40 лет назад. В клинике занимаются лечением собак, кошек и других животных.

Если вы работаете с вредными и агрессивными химическими веществами, то компания СигмаЛаб предложит вашей фирме вытяжной шкаф. Сами шкафы высочайшего качества, химически-стойкие с куполом из стеклопластика. Также в ассортименте фирмы сушильные шкафы, муфельные печи, влагометры и многое другое. Подробнее можно прочитать на сайте sigma-lab.ru

тэги: