Работа с платежными инструментами требует соблюдать сохранность личных данных и выполнять различные нормативные процедуры. Проверка соответствия всем этим требованиям выполняется в ходе выдачи сертификата компании. Чтобы разобраться подробно в вопросе, стоит узнать больше про сертификацию на compliance-control.ua/ru/.
Понятие и требования
По своей сути сертификат, имеющий подобное обозначение, говорит о создании системы защиты конфиденциальных данных. В случае PCI DSS дело касается обработки платежей. Если компания принимает или отправляет безналичные средства с помощью банковской карты, ведет расчеты подобным образом, то она должна получить данный сертификат.
Среди основных требований при получении документа выделяют:
- Надежная защита корпоративной сети, где весь трафик проходит через межсетевые экраны. Все участки, где имеются данные о клиентах разбиваются на отдельные секции, которые изолируются друг от друга и от общего доступа. Виртуальные машины в таком случае предназначены для выполнения одной функции, и все доступы к ней защищаются надежными паролями, имеющими различные знаки в названии и значительную длину.
- Шифровка в сети осуществляется ключами длиной 128 бит и более.
- На всех машинах устанавливаются надежные антивирусные программы, их обновление постоянно документируется.
- К физическим серверам допускается только ограниченный круг сотрудников, список которых постоянное обновляется в случае кадровых перестановок. Для виртуального доступа используется многофакторная аутентификация.
- При доступе к сети и секциям с информацией ведутся логи, чтобы обнаружить следы взлома при необходимости.
- Вся корпоративная политика в области защиты информации оформляется в письменном виде.
Проведение сертификации
Процедуру проводит специализированная организация, для чего необходимо заказать у нее QSA-аудит.
Исключения предоставляются для сервис-провайдеров с ограничением транзакций в 300 тысяч в год, и продавцам со сделками менее миллиона в год. Для выяснения всех деталей, предлагается узнать подробности про сертификацию на compliance-control.ua/ru/iso27001.html.
Специалисты, проводящие аудит сначала изучают всю документацию и устройство сети. Затем проводят пробную хакерскую атаку, чтобы понять, насколько защита может сработать.
Если система выдержала внешнее воздействие, то оценивается техническое состояние всей сети, настройки операционной системы, приложений и аппаратов. Если все находится в рамках требований, то выдается сертификат.
