Защита данных владельцев международных платежных карт в национальной платежной системе

Уральский центр систем безопасности - первая региональная компания в России, обладающая статусом QSA, и зарегистрированная в реестре аудиторов на сайте совета по стандартам безопасности индустрии платежных карт (PCISSC). Результаты выполненных нами аудитов признаются международными платежными системами и их участниками.

Евгений Миронов, ведущий аналитик УЦСБ, QSA:

В последнее время много внимания уделяется вопросам, связанным с необходимостью выполнения требований по защите информации, установленных различными нормативными документами. Для финансовой сферы наиболее актуальны вопросы «совместимости» требований Стандарта защиты данных индустрии платежных карт (PCIDSS) и «Положения о требованиях к обеспечению защиты информациипри осуществлении переводов денежных средств ...» Банка России от 9 июня 2012 г. № 382-П (Положения №382-П).

Несмотря на схожесть требований, область их распространения существенно различается. Если требования Банка России распространяются на всех участников национальной платежной системы, то требования PCIDSS относятся только к организациям, которые являются участниками международных платежных систем. На рисунке 1 показана иерархия документов, регламентирующих вопросы защиты данных владельцев международных платежных карт.

 Операторы международных систем привели ранее существовавшие требования в соответствие с законодательством РФ и, теперь, уже в соответствии с законодательством РФ, а не только требованиями договоров, обязали участников этих систем соблюдать требования:
- программы по защите платежной информации* ;
-PCIDSS, в том числе проводить ежеквартальные внешние сканирования на уязвимости с привлечением сертифицированного поставщика услуг сканирования (ASV);
- стандарта обеспечения безопасности данных в платежных приложениях (PA-DSS).

В соответствии с уровнями, установленными программами по защите платежной информации, и по требованию Оператора платежной системы, Участники платежной системыи Операционные центрыдолжны подтвердить соблюдение положений Стандарта безопасности данных индустрии платежных карт (PCI DSS).

В зависимости от требований оператора платежной системыили оператора по переводу денежных средств подтверждение соблюдение положенийPCIDSSможет быть получено по результатам самооценки или внешнего аудита.

Таким образом, положения стандарта PCIDSSстали, фактически, частью требований национальной платежной системы. Теперь, в ходе проверок выполнения требований Положения №382-П, следует проверять и наличие свидетельств выполнения требований PCIDSS - опросных листов самооценки (SAQ) или отчета о соответствии (ROC), аттестата соответствия (AOC) и результатов внешнего сканирования, выполненного ASV.

В случае самооценки организация, в зависимости от особенностей ее деятельности, должна заполнить один из 9 вариантов SAQ. SAQможет быть заполнен организацией самостоятельно, с привлечением сертифицированного внутреннего аудитор (ISA) или внешнего аудитора (QSA).В случае внешнего аудита - отчет о соответствии (ROC) составляет внешний сертифицированный аудитор (QSA).

УЦСБ, является сертифицированным аудитором (QSA) и готов оказать помощь в выборе и заполнении SAQ, а также провести сертификационный аудит вашей организации в соответствии с требованиями PCIDSS.

Мы оказываем полный спектр услуг по подготовке к сертификации:
- предсертификационный аудит -мы уточняем вашу роль в платежной системе, определяем требования, применимые к вашей организации, проводим анализ недостатков, которые необходимо устранить для обеспечения соответствия требованиям стандарта и даем детальные рекомендации по их устранению;
- приведение в соответствие -мы консультируем вас по вопросам внедрения требований стандарта. Объем услуг может варьироваться в зависимости от ваших потребностей: от дистанционных консультацийдо разработки полного комплекта нормативных документов «под ключ»;
- проектирование/поставка/внедрение/сопровождение систем и средств защиты информации, а также полный цикл сервисной поддержки и сопровождения систем;
- проведение внутренних и внешних сканирований (ASV-scanning) сети на уязвимости;
- внешнее и внутреннее тестирование на проникновение, которое предусматривает тестирование всех компонентов среды данных владельцев карт, надежности сегментирования и т.д.

Мы гарантируем независимость оценок при проведении аудита и высокое качество работ по подготовке к сертификации.

Высокое качество выполняемых нами работ подтверждают результаты успешных сертификационных аудитов наших клиентов, проводимых нашим партнером, компанией SRCSecurityResearch&Consulting, также обладающей статусом QSA.

Подробнее с результатами сравнения требований Положения №382-П и стандарта PCIDSSвы можете ознакомиться на нашем сайте www.USSC.ru