Оценка соответствия требованиям
стандарта PCI DSS

Стандарт безопасности данных индустрии платежных карт

6,4 млрд ₽

Было украдено со счетов клиентов российских банков в 2019

22 млн ₽

Было похищено в результате одной атаки на инфраструктуру финансовой организации

694 нарушения

Было выявлено в результате 122 проверок финансовых организаций в 2019 году

Платежи по карте стали очень распространены по всему миру, и это подвергает их пользователей постоянному риску и угрозам со стороны мошенников. При этом массовые утечки данных или кражи денежных средств часто приводят к непоправимым финансовым и репутационным потерям для финансовых организаций.

Чтобы предотвратить мошенничества с картами и поддерживать доверие между торговыми предприятиями и сотнями миллионов держателей карт по всему миру, American Express, Discover, JCB International, MasterCard и Visa Inc. объединили усилия для создания Совета по стандартам безопасности индустрии платежных карт (PCI SSC) в 2006 году.

Нужно проводить оценку соответствия требованиям PCI DSS, если:

Вы храните, обрабатываете или передаете данные платежных карт

Бизнес-процессы вашей организации могут повлиять на безопасность платежных карт


Проверки в рамках PCI DSS

PCI DSS включает 12 групп критериев и требований.

  • Защита вычислительной сети
  • Конфигурация компонентов информационной инфраструктуры
  • Защита хранимых данных о держателях карт
  • Защита передаваемых данных о держателях карт
  • Антивирусная защита информационной инфраструктуры
  • Разработка и поддержка информационных систем
  • Управление доступом к данным о держателях карт
  • Механизмы аутентификации
  • Физическая защита информационной инфраструктуры
  • Протоколирование событий и действий
  • Контроль защищенности информационной инфраструктуры
  • Управление информационной безопасностью

Виды аудита PCI DSS

Внешний аудит (QSA)

Внешний аудит QSA выполняется организацией, сертифицированной PCI SSС.

Внутренний аудит (ISA)

Внутренний аудит ISA выполняется внутренним аудитором, прошедшим обучение и сертифицированным по программе PCI SSC.

Самостоятельная оценка (SAQ)

Самооценка SAQ выполняется самостоятельно путём заполнения листа самооценки.

Сертификационный аудит от Group-IB

Всем торговым и сервисным предприятиям с более чем 1 млн транзакций, а также поставщикам услуг с более чем 300 тыс. транзакций предписывается ежегодно проводить QSA аудит.

Group-IB обладает статусом QSA, то есть квалифицирована Советом PCI для проведения сертификационного аудита PCI DSS в Центральной Европе, на Ближнем Востоке и в Африке.

Специалисты Group-IB также проводят предварительную оценку для подготовки к сертификационному аудиту, по результатам которой вы получите отчет и рекомендации для успешного прохождения аудита.

Этапы аудита QSA от Group-IB

1Предварительный анализ
  • Сбор первичных данных, важных для стандарта PCI DSS
  • Анализ внутренней технической документации
  • Уточнение границ аудита и создание плана проекта
2Аудит на территории заказчика
  • Проведение интервью
  • Сбор свидетельств аудита
  • Aнализ полученных свидетельств и формирование выводов аудита
3Подготовка отчета
  • Создание отчета о соответствии (ROC) и аттестата соответствия (AOC)
  • Подготовка сертификата соответствия PCI DSS

Что вы получите по результатам работы?

Отчет о соответствии (ROC)

Аттестат соответствия (AOC)

Сертификат соответствия стандарту PCI DSS

Преимущества оценки соответствия от Group-IB

Команда сертифицированных
экспертов

Команда признанных профессионалов Group-IB с 10+ годами опыта аудита различных инфраструктур и международными сертификатами в области ИБ — GDPR DPP, PCI QSA, CISA, CISSP, PME и другими.

Синергетический
подход

Благодаря синергии Лаборатории, CERT-GIB и собственной киберразведке мы непрерывно обогащаем свои знания об атакующих и выявляем угрозы на основании самых актуальных данных.

Комплексная работа
над проектами

Мы охватываем все задачи по оценке соответствия требованиям ИБ в России и в мире, выполняя проекты по аудиту, документированию процессов ИБ, оценке рисков и консалтингу.

Исчерпывающий
результат

Мы предоставляем подробный отчет с указанием пробелов в соблюдении требований, а также даем рекомендации, позволяющие быстро внедрить необходимые изменения, не нарушая бизнес-процессы.

Свяжитесь с нами, чтобы получить консультацию по оценке соответствия PCI DSS

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время