Что необходимо для успешного прохождения сертификации PCI DSS?

Для успешного прохождения сертификации PCI DSS необходимо выполнить ряд требований, которые могут варьироваться в зависимости от категории компании и уровня сложности её системы обработки платежей. lava.ru

Некоторые из требований стандарта PCI DSS:

• Защита сети. lava.ru Необходимо настроить защиту беспроводной сети, использовать брандмауэр, запретить применение слабых протоколов шифрования и регулярно обновлять ПО брандмауэров. lava.ru
• Защита данных держателей карты. lava.ru Данные нужно хранить только в зашифрованном виде, защищать передачу данных по сети, удалять излишние данные и защищать ключи шифрования. lava.ru
• Управление учётными записями и доступом. lava.ru Необходимо создать и использовать уникальные идентификаторы для пользователей, настроить права доступа к системам обработки платежей, ограничить доступ к информации о держателях карты только необходимым сотрудникам и регулярно менять пароли. lava.ru
• Защита от вредоносных программ. lava.ru Нужно установить и обновлять антивирусное ПО на всех системах, находящихся в сети компании, защищать все системы обработки платежей от вредоносных программ и регулярно обновлять ПО. lava.ru
• Защита физических ресурсов. lava.ru Необходимо ограничить физический доступ к системам обработки платежей, установить систему видеонаблюдения и контроля доступа. lava.ru
• Установление правил политики безопасности. enot.io Нужно периодически проверять соответствие данным правилам и продумывать алгоритмы поэтапных действий при хакерском взломе. enot.io

Процесс сертификации PCI DSS включает следующие шаги: lava.ru

1. Определение уровня сложности системы обработки платежей. lava.ru Для этого нужно проанализировать ежегодный объём транзакций, обрабатываемых компанией, и использовать соответствующую таблицу уровней сертификации, определённую в стандарте PCI DSS. lava.ru
2. Подготовка системы обработки платежей. lava.ru Включает в себя выполнение необходимых технических работ для обеспечения соответствия стандарту PCI DSS, например, установку необходимых программных и аппаратных средств, обновление системы безопасности, настройку правил доступа и т. д.. lava.ru
3. Проведение тестирования системы обработки платежей. lava.ru Тестирование может проводиться как внутри компании, так и с помощью независимых экспертов. lava.ru
4. Подача заявки на сертификацию. lava.ru После проведения тестирования компания подаёт заявку на сертификацию в аккредитованную компанию-аудитора, которая проведёт окончательную оценку и выдаст сертификат, если компания соответствует всем требованиям стандарта. lava.ru
5. Поддержание сертификата. lava.ru Компания обязана поддерживать сертификат в действующем состоянии, для этого нужно проводить регулярную проверку своей системы обработки платежей и вносить необходимые изменения, чтобы обеспечить её соответствие требованиям стандарта. lava.ru Кроме того, компания должна ежегодно проходить повторную сертификацию. lava.ru
6. Документирование процесса. lava.ru Все шаги процесса получения сертификата PCI DSS должны быть документированы, чтобы обеспечить прозрачность и возможность проверки соответствия компании требованиям. lava.ru
7. Обучение сотрудников. lava.ru Компания должна подготавливать и обучать своих сотрудников, чтобы они могли правильно использовать систему и соблюдать требования стандарта PCI DSS. lava.ru