Cертификация PCI DSS в Украине: требования и правила

Работа с персональными данными, финансовой информацией требует повышенной надежности. Для этого компаниям требуется пройти соответствующую сертификацию с соблюдением строгих стандартов.

Чтобы понять все детали и особенности процедуры, стоит изучить больше информации на compliance-control.ua.

Требования

Если нужно пройти сертификацию PCI DSS, необходимо соответствовать ряду условий:

1. Корпоративная сеть защищается межсетевыми экранами, данные о пользователях разбиваются на отдельные изолированные сегменты. Для входа должны использоваться оригинальные и сложные пароли.
2. Вся информация шифруется 128 битными, и более сложными ключами.
3. Все системы защищаются проверенными антивирусными программами, их обновление постоянно документируется.
4. Для доступа через сеть используется многофакторная аутентификация. Физический доступ ограничен небольшим кругом лиц, правила меняются после каждой кадровой перестановки.
5. Каждая операция сопровождается логами, они регулярно отслеживаются, чтобы определить следы возможного взлома. Вся инфраструктура подвергается регулярному тестированию.
6. Политика в области корпоративной безопасности должна быть задокументирована, определены ее цели и задачи, составлены принципы ведения дел и правила доступа к данным. Документы должны обновляться не режа одного раза в год.

Чтобы разобраться со всеми деталями, предлагается ознакомиться с информацией подробнее на https://compliance-control.ua/pinsecurity.html.

Получение сертификата

Требуется заполнить лист самооценки или провести сторонний аудит, и результаты передать в соответствующие инстанции.

Для самостоятельного или внешнего аудита необходимо оценить три уровня:

1. Безопасность использования и хранения физического оборудования, включая серверы с данными.
2. Надежность работы всей виртуальной инфраструктуры.
3. Исследование безопасности и надежности работы программного обеспечения.

Специалисты, проводящие аудит, изучают все внутренние документы, относящиеся к указанным областям деятельности компании, проверяют их практическое соблюдение. Далее организуется атака на инфраструктуру, с целью определения уровня надежности и выяснения наиболее уязвимых участков.

Далее оценивается архитектура всей сети, настройка операционной системы, надежность приложений.
На основании проведенных исследований составляется заключение, которое позволяет получить сертификат PCI DSS. Срок действия документа составляет 12 месяцев, после чего необходимо провести процедуру снова.