Η διαδικασία πιστοποίησης με το PCI DSS σε 4+1 βήματα

Το PCI Council είναι υπεύθυνο για τη διαχείριση των προτύπων ασφαλείας, ενώ η επιβολή της εναρμόνισης με τα πρότυπα PCI Security Standards επιβάλετε από τις εταιρείες πιστωτικών καρτών. Οι προδιαγραφές αφορούν όλους τους οργανισμούς που αποθηκεύουν, επεξεργάζονται ή διαβιβάζουν δεδομένα πιστωτικών καρτών. Οι προδιαγραφές αυτές, αφορούν επίσης προγραμματιστές λογισμικού και τους κατασκευαστές εφαρμογών και συσκευών που χρησιμοποιούνται σε τέτοιου είδους συναλλαγές.

Αν είστε έμπορος που δέχεται τις πιστωτικές κάρτες, είστε υποχρεωμένος να συμμορφώνεστε με το PCI Data Security Standard. Μπορείτε να μάθετε τις ακριβείς απαιτήσεις συμμόρφωσης σας κλείνοντας ένα ραντεβού με εξειδικευμένο σύμβουλό μας.Οι δημιουργοί του προτύπου χωρίζουν τους υποκείμενους σε πιστοποίηση σε τρεις κατηγορίες βάσει των οποίων καθορίζονται και οι τελικές προδιαγραφές αλλα αρα και η διαδικασία.

Πόσο κοστίζει η πιστοποίηση PCI DSS;

Για να μάθετε σε ποιό τύπο πιστοποίησης ανήκει η επιχείρησή σας και πόσο κοστίζει, αρκεί να χρησιμοποιήσετε το online SAQ selection tool.
01

ENVIRONMENT IDENTIFICATION

Το σημαντικόπτερο βήμα στην διαδικασία του PCI είναι αρχικά η κατανόηση και ο καθορισμός του in-scope environment και η ελαχιστοποίηση του (scope minification).  Το βήμα αυτό αποτελεί το σημαντικότερο στάδιο καθότι αυτό θα καθορίσει τις απαραίτητες προδιαγραφές. Αποτυχία στην ορθή ολοκλήρωση του βήματος αυτού, είναι πιθανό να καταστήσει την πιστοποίησή σας μη έγκυρη.
02

GAP ASSESSMENT

Κατα την διαδικασία αυτή γίνεται ο έλεγχος συμμόρφωσης με κάθε requirement του PCI DSS που αντιστοιχεί στην επιχείρησή σας. Επίσης ελέγχεται η πληρότητα/ορθότητα των πολιτικών ασφαλείας του προς πιστοποίηση οργανισμού.  Το GAP Assessment θα καθορίσει τις ενέργειες που θα πρέπει να γίνουν ώστε να συμμορφωθεί η επιχείρηση πλήρως με το πρότυπο PCI.
03

ON-SITE Audit

Έμποροι που πραγματοποιούν ετησίως περισσότερες από 6.000.000 συναλλαγές με πιστωτικές κάρτες καθώς και πάροχοι υπηρεσιών που πραγματοποιούν περισσότερες από 300.000 συναλλαγές, είναι υποχρεωτικό να υποβάλλονται ετησίως σε on-site audit απο Qualified Security Assessors (QSA) για να γίνεται validation της συμμόρφωσής τους. Επιπρόσθετα το βήμα αυτό απαιτείται για Payment Service Providers και για επιχειρήσεις που έχουν πέσει θύμα κλοπής δεδομένων ανεξαρτήτως πλήθους συναλλαγών.
04

ASV Scans & Penetretion Testing

Ισως το πιο γνωστό σταδιο της όλης διαδικασίας και αυτό γιατί πολλές επιχειρήσεις καθοδηγουνται λάθος, κυρίως από συνεργάτες τους του χώρου της πληροφορικής (προγραμματιστές, system administrators κλπ) και πιστεύουν ότι η ολοκλήρωση αυτου και μονο του σταδίου σημαίνει συμμόρφωση με το πρότυπο. Στο σταδιο αυτο διενεργούνται από Authorised Scanning Vendors εξωτερικά scans στην περίμετρο της υποδομής του οργανισμού ωστε να εντοπιστουν τεχνικά κενα ασφαλείας. Επιπρόσθετα η επιχείρηση, ανάλογα με τον τύπο πιστοποίησης, ενδέχεται να πρέπει να πραγματοποιήσει penetration testing και risk assesment με συνεργάτη της επιλογής της, ακόμα και με εσωτερικά resources .
05

PCI DSS Certification

Εφόσον έχουν ολοκληρωθεί όλα τα παραπάνω βήματα επιτυχώς, η innotech θα σας εκδώσει το απαραίτητο AOC (Attestation of Compliance)  ή ROC (Report of Compliance) ανάλογα με το επίπεδο πιστοποίησής σας
TOP