Η διαδικασία πιστοποίησης με το PCI DSS σε 4+1 βήματα

Το PCI Council είναι υπεύθυνο για τη διαχείριση των προτύπων ασφαλείας, ενώ η επιβολή της εναρμόνισης με τα πρότυπα PCI Security Standards επιβάλλεται από τις εταιρείες πιστωτικών καρτών. Οι προδιαγραφές αφορούν όλους τους οργανισμούς που αποθηκεύουν, επεξεργάζονται ή διαβιβάζουν δεδομένα πιστωτικών καρτών. Οι προδιαγραφές αυτές, αφορούν επίσης προγραμματιστές λογισμικού και τους κατασκευαστές εφαρμογών και συσκευών που χρησιμοποιούνται σε τέτοιου είδους συναλλαγές.

Αν είστε έμπορος που δέχεται τις πιστωτικές κάρτες, είστε υποχρεωμένος να συμμορφώνεστε με το PCI Data Security Standard. Μπορείτε να μάθετε τις ακριβείς απαιτήσεις συμμόρφωσης σας κλείνοντας ένα ραντεβού με εξειδικευμένο σύμβουλό μας. Οι δημιουργοί του προτύπου χωρίζουν τους υποκείμενους σε πιστοποίηση σε τρεις κατηγορίες βάσει των οποίων καθορίζονται και οι τελικές προδιαγραφές, άρα και η διαδικασία.

Πόσο κοστίζει η πιστοποίηση PCI DSS;

Για να μάθετε σε ποιον τύπο πιστοποίησης ανήκει η επιχείρησή σας και πόσο κοστίζει, αρκεί να χρησιμοποιήσετε το online SAQ selection tool.
01

ENVIRONMENT IDENTIFICATION

Το σημαντικότερο βήμα στην διαδικασία του PCI είναι η κατανόηση και ο καθορισμός του in-scope environment και η ελαχιστοποίησή του (scope minification). Το βήμα αυτό αποτελεί το σημαντικότερο στάδιο, καθότι αυτό θα καθορίσει τις απαραίτητες προδιαγραφές. Αποτυχία στην ορθή ολοκλήρωση του βήματος αυτού, είναι πιθανό να καταστήσει την πιστοποίησή σας μη έγκυρη.
02

GAP ASSESSMENT

Κατα την διαδικασία αυτή γίνεται ο έλεγχος συμμόρφωσης με κάθε requirement του PCI DSS που αντιστοιχεί στην επιχείρησή σας. Επίσης, ελέγχεται η πληρότητα/ορθότητα των πολιτικών ασφαλείας του προς πιστοποίηση οργανισμού. Το GAP Assessment θα καθορίσει τις ενέργειες που θα πρέπει να γίνουν ώστε να συμμορφωθεί η επιχείρηση πλήρως με το πρότυπο PCI.
03

ON-SITE Audit

Έμποροι που πραγματοποιούν ετησίως περισσότερες από 6.000.000 συναλλαγές με πιστωτικές κάρτες, καθώς και πάροχοι υπηρεσιών που πραγματοποιούν περισσότερες από 300.000 συναλλαγές, είναι υποχρεωτικό να υποβάλλονται ετησίως σε on-site audit από Qualified Security Assessors (QSA) για να γίνεται validation της συμμόρφωσής τους. Επιπρόσθετα, το βήμα αυτό απαιτείται για Payment Service Providers και για επιχειρήσεις που έχουν πέσει θύμα κλοπής δεδομένων ανεξαρτήτως πλήθους συναλλαγών.
04

ASV Scans & Penetretion Testing

Ίσως το πιο γνωστό στάδιο της όλης διαδικασίας και αυτό γιατί πολλές επιχειρήσεις καθοδηγούνται λάθος, κυρίως από συνεργάτες τους στο χώρο της πληροφορικής (προγραμματιστές, system administrators κλπ) και πιστεύουν ότι η ολοκλήρωση αυτού και μόνο του σταδίου σημαίνει συμμόρφωση με το πρότυπο. Στο στάδιο αυτό διενεργούνται από Authorised Scanning Vendors εξωτερικά scans στην περίμετρο της υποδομής του οργανισμού ώστε να εντοπιστούν τεχνικά κενά ασφαλείας. Επιπρόσθετα η επιχείρηση, ανάλογα με τον τύπο πιστοποίησης, ενδέχεται να πρέπει να πραγματοποιήσει penetration testing και risk assesment με συνεργάτη της επιλογής της, ακόμα και με εσωτερικά resources.
05

PCI DSS Certification

Εφόσον ολοκληρωθoύν όλα τα παραπάνω βήματα επιτυχώς, η Innotech θα σας εκδώσει το απαραίτητο AOC (Attestation of Compliance) ή ROC (Report of Compliance) ανάλογα με το επίπεδο πιστοποίησής σας.
TOP