Об услуге
Каждая компания, которая принимает и обрабатывает данные держателей платежных карт Visa и MasterCard, должна соответствовать отраслевому стандарту безопасности PCI DSS (Payment Card Industry Data Security Standard).
Для соответствия стандарту PCI DSS необходимо либо пройти независимый QSA-аудит, либо заполнить лист самооценки SAQ определенного типа. Разобраться в технических и организационных требованиях стандарта, а также в процедурах, которые следует выполнить для сертификации, бывает не всегда просто. Тем более если компания впервые работает с платежными системами.
ITGLOBAL.COM помогает подготовиться к обеим процедурам.
Услуга включает:
Разработку подробных экспертных рекомендаций по приведению инфраструктуры и бизнес-процессов в соответствие со стандартом PCI DSS
Определение области применимости стандарта PCI DSS и ее уменьшение
Разработку компенсирующих мер — при невозможности выполнения тех или иных требований стандарта
Предложения по внедрению необходимых технических средств защиты информации с учетом его бюджета клиента и практической необходимости
Консультирование по стандарту PCI DSS на всех этапах оказания услуги
Обследование инфраструктуры и бизнес-процессов
Зачем нужен сертификат
Наличие сертификата PCI DSS подтверждает то, что торгово-сервисное предприятие или поставщик услуг производят финансовые операции с карточными данными своих клиентов с учетом требований по безопасности.
Теоретически вы сможете работать без сертификата — например, сотрудничая с не очень ответственными банками или платежными шлюзами, которые не требуют сертификации. Но тогда вы станете уязвимы для мошенников, потому что не выполняете требования безопасности. В случае обнаружения фрода при совершении ваших транзакций бремя компенсаций ляжет именно на вас. Стоит добавить, что несоблюдение требований PCI DSS грозит штрафами до $200 тыс.
Лист самооценки или QSA-аудит?
Зачастую для сертификации достаточно бывает заполнить лист самооценки SAQ определенного типа. Чтобы понять, нужен ли сертификационный внешний QSA-аудит или можно обойтись заполнением SAQ, поможет эта таблица:

Клиентам, которым достаточно заполнить лист самооценки SAQ, мы предлагаем:
- помощь в определении области аудита и его сокращении
- консалтинг и обучение по PCI DSS актуальной версии
- помощь в выработке решений и их внедрение для соблюдения стандарта актуальной версии
- заполнение листа самооценки SAQ (A, A-EP, B, B-IP, C, C-VT, P2PE-HW, D)
Услуга может предоставляться очно, с выездом специалиста, либо удаленно по Skype.
Для тех, кому заполнения листа самооценки недостаточно, мы предлагаем подготовку к сертификационному QSA-аудиту:
- Помощь в определении области аудита и его сокращении
- Консультирование и обучение по PCI DSS актуальной версии
- Помощь в выработке решений и их внедрение для соблюдения стандарта актуальной версии
- Разработку экспертных рекомендаций с указанием текущих несоответствий и выполнению необходимых требований
- Разработку необходимых политик, положений и регламентов
Наши преимущества
Как мы работаем
- Подписываем соглашение о неразглашении получаемой информации (NDA)
- Согласовываем даты и проводим очные интервью с представителями клиента, в ходе которых собираем необходимую информацию и выполняем проверку настроек компонентов информационной системы
- По результатам обследования:
- Проводим консультации на всех этапах оказания услуги
- Делимся личным опытом
- Вникаем в проблемы клиента и вырабатываем оптимальные варианты их решения
- Подготавливаем Экспертные рекомендации, в которых подробно описываем, как выполнить то или иное требование стандарта PCI DSS