20 октября, суббота 12:22
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит на соответствие стандарту PCI DSS

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Аудит на соответствие стандарту PCI DSS

    Уважаемые господа, принимайте новенького. Не сочтите за рекламу, но я занимаюсь продажей этой услуги и немного понимаю в стандарте. Очень интересно было бы пообщаться с персоналом процессинговых центров, на предмет прохождения аудита.

  • #2
    А как можно что-то продавать, если у нас в стране только один сертифицированный аудитор? Или Вы у него в дилерах числитесь
    А если серьёзно, то соответствующая ветка есть в форуме пластиковых карт.

    Комментарий


    • #3
      Сообщение от SAndreyV Посмотреть сообщение
      А как можно что-то продавать, если у нас в стране только один сертифицированный аудитор? Или Вы у него в дилерах числитесь
      А если серьёзно, то соответствующая ветка есть в форуме пластиковых карт.
      Я являюсь сотрудником Инфорзащиты. Что вы имеете в ввиду под одним сертифицированным аудитором если вот это https://www.pcisecuritystandards.org...assessors.htm; то их не один если сертификат QSA то соответственно тоже народа хватает...

      Комментарий


      • #4
        А как можно что-то продавать, если у нас в стране только один сертифицированный аудитор? Или Вы у него в дилерах числитесь

        Как минимум уже два. На днях еще одна контора получила статус QSA...

        Комментарий


        • #5
          Вообще то уже 3 - Джет, Информазащита и DSEC.
          По идее должна быть ещё одна - но, видимо ещё не оформились до конца. Плюс мировые вендоры - например, IBM.
          А расскажите пожалуйста какие сейчас штрафы (наказания) за несоответствие данному стандарту?

          Комментарий


          • #6
            Сообщение от nremezov Посмотреть сообщение
            Вообще то уже 3 - Джет, Информазащита и DSEC.
            По идее должна быть ещё одна - но, видимо ещё не оформились до конца. Плюс мировые вендоры - например, IBM.
            А расскажите пожалуйста какие сейчас штрафы (наказания) за несоответствие данному стандарту?
            В России прецендентов пока не было. За рубежом штрафы были за компрометацию данных платежных карт.
            P.S. Сумму выкатывали приличные.
            Помимо штрафа могут лишить статуса. В общем аудит необходим, по крайней мере выработка action plane и последующая отправка его в МПС (со сроками устранения несоответствий).

            Комментарий


            • #7
              Сообщение от Hitch Посмотреть сообщение
              А как можно что-то продавать, если у нас в стране только один сертифицированный аудитор? Или Вы у него в дилерах числитесь

              Как минимум уже два. На днях еще одна контора получила статус QSA...
              Вот по поводу статуса умные люди подсказали...

              Есть QSA –компании. Есть QSA –аудитор.
              Для того, чтобы компания получила статус QSA, должно выполняться много условий, одним из которых является обучение своих сотрудников и сдача ими экзамена на QSA (к таким сотрудникам в свою очередь предъявляются жесткие требования по опыту, сертификации и пр. J). Их статус неразрывно связан с компанией QSA. То есть сотрудник компании QSA, имеющий статус QSA, не может пойти самостоятельно проводить сертификационные аудиты НЕ в рамках своей компании на основании только лишь того, что он имеет такой статус. Аудит должна проводить КОМПАНИЯ-QSA руками своих сотрудников-QSA.

              Комментарий


              • #8
                Сообщение от Василий_Николаевич Посмотреть сообщение
                В России прецендентов пока не было. За рубежом штрафы были за компрометацию данных платежных карт.
                P.S. Сумму выкатывали приличные.
                Помимо штрафа могут лишить статуса. В общем аудит необходим, по крайней мере выработка action plane и последующая отправка его в МПС (со сроками устранения несоответствий).
                Уточняю вопрос - какие сейчас наказания за несоответствие требованиям стандарта? Какие были преценденты?

                Комментарий


                • #9
                  Сообщение от nremezov Посмотреть сообщение
                  Уточняю вопрос - какие сейчас наказания за несоответствие требованиям стандарта? Какие были преценденты?
                  Поясняю...., наказания назначает Международная Платежная Система, а не компания проводившая аудит. Прецеденты были за рубежом, когда несоответствий не было выявлено (compliance), а данные платежных карт были скомпрометированы. Штрафы очень высокие. Если в ходе аудита выявлены несоответствия и не выработан action plan со сроками устранения несоответствий, который необходимо направить в МПС,МПС в свою очередь может наложить штраф, размер определяет МПС!, а не аудитор, поэтому, на вопрос СКОЛЬКО я ответить не могу. Могу сказать одно, в России пока никого не штрафовали, но времени прошло мало, штрафы обязательно будут.

                  Комментарий


                  • #10
                    nremezov А расскажите пожалуйста какие сейчас штрафы (наказания) за несоответствие данному стандарту?

                    Нет и не будет до 2010 года.

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      nremezov А расскажите пожалуйста какие сейчас штрафы (наказания) за несоответствие данному стандарту?

                      Нет и не будет до 2010 года.
                      Ссори за нескромный вопрос, а откуда такая информация? От консула или от какой-либо МПС?

                      Комментарий


                      • #12
                        Из разных источников

                        Комментарий


                        • #13
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          Из разных источников
                          Побольше бы конкретики...

                          Комментарий


                          • #14
                            Василий_Николаевич Побольше бы конкретики...

                            Ну я не Visa и не PCI Council, чтобы конкретизировать ;-) Спросите у Туласи

                            Комментарий


                            • #15
                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Василий_Николаевич Побольше бы конкретики...

                              Ну я не Visa и не PCI Council, чтобы конкретизировать ;-) Спросите у Туласи
                              Уважаемый Мани Туласи ничего не говорил про 2010г.

                              Комментарий


                              • #16
                                Так его можно спросить об этом ;-)

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  Так его можно спросить об этом ;-)
                                  А Вам, я полагаю, он открыл военную тайну?

                                  Комментарий


                                  • #18
                                    Для тех, кто еще не совсем хорошо ориентируется в стандарте, предлагаю интересный материал http://www.infosec.ru/files/articles...0DSS%201_1.pdf

                                    Комментарий


                                    • #19
                                      Василий Николаевич!
                                      если процессинга своего нет, что-то делать нужно? на сколько я понимаю, компания предоставляющая процессинг должна как-то и клиентов своих дрючить каким-то образом?

                                      Комментарий


                                      • #20
                                        Сообщение от xell Посмотреть сообщение
                                        Василий Николаевич!
                                        если процессинга своего нет, что-то делать нужно? на сколько я понимаю, компания предоставляющая процессинг должна как-то и клиентов своих дрючить каким-то образом?
                                        Как минимум вы должны заполнять самоопросник, как максимум проводить ежегодное сканирование. Это зависит, например, от количества обрабатываемых транзакций. Вы можете более детально мне пояснить какая у вас ситуация, я дам вам исчерпывающий ответ.

                                        Комментарий


                                        • #21
                                          Для тех, кто еще не совсем хорошо ориентируется в стандарте, предлагаю интересный материал http://www.infosec.ru/files/articles...0DSS%201_1.pdf

                                          Спасибо, думаю, пригодится...

                                          Комментарий


                                          • #22
                                            Василий_Николаевич,
                                            ситуёвина простая, процессинга своего в банке нет, используется внешний. и думаю,что вопроссы с их стороны к нам, как к клиентам этой услуги будут. зная как у нас в стране все происходит-будит все в авральном порядке: "нужно вчера!". очень хочется заранее подготовится к вопроссам.

                                            сканирование производиться, смысл заполнять опроснег, если он расчитан на хозяина процессинга?

                                            Комментарий


                                            • #23
                                              Цитата:
                                              Автор сообщения Алексей Лукацкий
                                              Так его можно спросить об этом ;-)

                                              А Вам, я полагаю, он открыл военную тайну?

                                              А военную тайну он открыл для всех присутствующих на семинаре "Информзащиты" 17 июля с.г., посвящённом проблемам/вопросам PCI DSS.

                                              Комментарий


                                              • #24
                                                Прошу прощения - 17 июня, а не июля.

                                                Комментарий


                                                • #25
                                                  В рамках прохождения аудита на соответствие стандарту PCI DSS необходимо проводить ежегодно penetration test (тест на проникновение). Данный тест обязателен для всех компаний в СНГ, напрямую подключенных к платежным системам VISA и MasterCard (ежегодно) в соответствии с требованием 11.3 стандарта PCI DSS:
                                                  • Банков
                                                  • Независимых ПЦ
                                                  • Платежных шлюзов
                                                  • Торговых организаций
                                                  Невыполнение данного требования ведет к гарантированному несоответствию по итогам аудита PCI DSS и в результате к штрафам компании со стороны платежной системы.

                                                  Само требование PCI DSS 11.3 звучит так:
                                                  11.3 Perform penetration testing at least once a year and after any significant infrastructure or application upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment). These penetration tests must include the following:
                                                  11.3.1 Network-layer penetration tests
                                                  11.3.2 Application-layer penetration tests.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от xell Посмотреть сообщение
                                                    Василий_Николаевич,
                                                    ситуёвина простая, процессинга своего в банке нет, используется внешний. и думаю,что вопроссы с их стороны к нам, как к клиентам этой услуги будут. зная как у нас в стране все происходит-будит все в авральном порядке: "нужно вчера!". очень хочется заранее подготовится к вопроссам.

                                                    сканирование производиться, смысл заполнять опроснег, если он расчитан на хозяина процессинга?
                                                    Нет, немного не так... самоопросник инициируется к заполнению банком-агентом именно "хозяином процессинга". Т.е вы должны проводить сканирование и заполнять самоопросник. Дайте количество ваших транзакций в год, я точно скажу на счет сканирования.

                                                    Комментарий


                                                    • #27


                                                      Дык сканирование делаем и так, а самоопроснег - где живет? где его нарыть можно?

                                                      заранее благодарю.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от xell Посмотреть сообщение
                                                        Дык сканирование делаем и так, а самоопроснег - где живет? где его нарыть можно?

                                                        заранее благодарю.
                                                        Самоопросник вам должен выдать банк спонсор, к которому Вы подключены.

                                                        Комментарий


                                                        • #29
                                                          Добрый день, уважаемые коллеги!
                                                          Подскажите пожалуйста,кто знает, где можно купить/взять шаблоны комплекта документов по PCI DSS, требуемые аудиторами (т.е стандарты,регламенты, инструкции и прочее). Очень нужно!

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Елочка зеленая Посмотреть сообщение
                                                            Добрый день, уважаемые коллеги!
                                                            Подскажите пожалуйста,кто знает, где можно купить/взять шаблоны комплекта документов по PCI DSS, требуемые аудиторами (т.е стандарты,регламенты, инструкции и прочее). Очень нужно!
                                                            Стандарт, процедура, ориентирование, глоссарий http://www.infosec.ru/themes/default...sp?folder=2142

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X