Сертификация по PCI DSS
Соответствие PCI DSS необходимо подтвердить для подключения к платежной системе. Стандарт требует защитить CDE — данные о транзакциях и о картах, для этого должны быть соответствующие процессы управления защищенностью и средства защиты.
В общем случае для этого требуется сертификационный аудит от PCI-аудиторов, при определенных условиях подтвердить соответствие можно также самостоятельно — с помощью SAQ (самоопросника).
Мы проводим предварительный аудит, определяем область применения, затем приводим процессы клиента и все необходимые документы в соответствие, затем помогаем установить и настроить средства защиты в соответствии с документами, проверяем систему с помощью обязательного тестирования на проникновение (pentest), и наконец завершаем проект сертификационным аудитом или SAQ.
Работа занимает в среднем 4-9 месяцев. Для сертификационного аудита необходим
pentest.
Соответствие необходимо подтверждать раз в год.
В итоге вы получаете:
- перечень замечаний и предложений по их устранению,
- комплект стандартов и политик, описывающих процессы защиты информации,
- результат ASV-сканирования и тестирований на проникновения,
- подтверждение соответствия в форме сертификата (сопровождаемого AOC и ROC) или SAQ.