| 22.10.2007 Компания Digital Security предлагает новую услугу – подготовку к сертификации по стандарту PCI DSS (Payment Card Industry Data Security Standard):
Предварительный аудит (http://dsec.ru/consult/pcidss/prepare/) на соответствие требованиям стандарта PCI DSS.
Проведение тестов на проникновение (http://dsec.ru/consult/audit/test/) согласно требованию стандарта PCI DSS.
Стандарт PCI DSS предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими. Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, e-commerce и т.п.). Причем требования относятся только к тем информационным системам компании, в которых обрабатывается или хранится информация о держателях платежных карт, а также к системам, которые с ними взаимосвязаны.
Предварительный аудит информационной системы на соответствие требованиям PCI DSS позволяет выявить все несоответствия требованиям стандарта и устранить их согласно разработанным рекомендациям. Дополнительно может быть проведен тест на проникновение, обязательный в соответствии с требованиями стандарта PCI DSS.
Сертификационный аудит информационной системы на соответствие требованиям PCI DSS позволяет оценить соответствие уровня защищенности информационной системы компании требованиям стандарта PCI DSS. Сертификационный аудит могут проводить только компании, сертифицированные PCI Security Standards Council, имеющие статус QSA (Qualified Security Assessor). С 2008 года требование соответствия стандарту ужесточается, и к компаниям, в которых выполняется большое количество транзакций, не прошедшим процедуру сертификации, начнут применяться штрафные санкции.
Согласно требованию стандарта PCI DSS в компании ежегодно должен проводиться тест на проникновение. Под тестом на проникновение понимается проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании, а также т.н. “war-dialing” для проверки наличия возможности проникновения в корпоративную сеть компании извне. Тест на проникновение не ограничивается сканированием различными сканерами безопасности – это отдельно подчеркивается специалистами PCI SSC (http://pcianswers.com/2006/11/13/what-should-a-penetration-test-include/).
Специалисты Digital Security в сентябре 2007 года прошли квалификационное тестирование в PCI SSC и получили сертификаты QSA аудиторов, что позволяет проводить предварительный аудит на соответствие требованиям стандарта PCI DSS. В данный момент Digital Security проходит завершающую стадию получения статуса QSA для компании, что позволит компании в ближайшее время начать оказывать услуги по проведению сертификации на соответствие требованиям стандарта PCI DSS. Специалисты Digital Security имеют большой опыт в проведении тестов на проникновение. Более подробную информацию о новых услугах Digital Security, оказываемых в рамках сертификации по PCI DSS, вы можете посмотреть на сайте Digital Security (www.dsec.ru). | |
