Основные сложности прохождения аудита на соответствие стандарту (Часть 2)

Блог компании ИТ-ГРАД
Аудит на соответствие стандарту PCI DSS бывает первичный и регулярный ежегодный. Некоторые компании видят основную сложность в первичной подготовке, для этого привлекаются сертифицированные консультанты, помогающие спроектировать безопасную архитектуру, выстроить процессы и разработать документацию.

Основная сложность при подготовке к аудиту на соответствие PCI DSS заключается в первичной реализации и настройке сетевой инфраструктуры. В выполнении данной задачи помогает привлечение внешних консультантов, а реализация таких рекомендаций выполняется нашими сотрудниками.

Дмитрий Булавин, руководитель отдела рисков Wallet One

С другой стороны, для многих компаний основная сложность видится именно в поддержании соответствия между аудитами.

Мы изначально строили свою систему на основе требований стандарта. В нашем случае главная сложность состоит не в прохождении первичной сертификации PCI DSS, а в поддержании данного статуса, точнее — в процедурах управления изменениями (change-management).

Иван Притула, генеральный директор ООО «СимплПэй»

Как правило, сертифицируется на вся ИТ-инфраструктура, а только ее часть, выделенная под задачи хранения и обработки карточных данных.

Основная сложность первичной сертификации в основном заключается в определении scope — части инфраструктуры компании, в которой обрабатываются карточные данные. Чем меньше scope, тем проще, быстрее и дешевле приведение в соответствие требованиям.

Также нужно учитывать, что на прохождении аудита процесс соответствия требованиям не заканчивается, его необходимо поддерживать в дальнейшем непрерывно. Если scope выбран необоснованно большой, это приведет к существенным затратам в долгосрочной перспективе.

В целом требования PCI DSS достаточно просты и логичны, в отличие от некоторых других отраслевых стандартов. Любое требование имеет под собой конкретные риски, которое оно закрывает. Я могу рекомендовать PCI DSS как основу для обеспечения информационной безопасности небольших компаний, которые даже не имеют отношения к карточным данным.

Денис Рыбаков, начальник службы безопасности НКО «МОНЕТА.РУ»

В рамках технической составляющей подготовки к аудиту многие компании отмечают задачу проектирования и изменения архитектуры корпоративной сети.

Самое сложное — это подгонка сетей под требования PCI DSS. Процедура усложнения и развития сети может занять 2 года и больше и очень сильно зависит от количества людей, принимающих участие в заведении компании под сертификацию.

На второе место я бы поставил процессы регламентации, организации документальной и учетной систем. Один из самых эффективных способов сокращения количества работы для захода под требования — это грамотное определение аудиторами области применения стандарта (scope), области сети, которая будет сертифицироваться. Стандарт разрешает заводить под требования не всю сеть, а ее часть, при организации четкой границы между частями сетей, заводимыми и не заводимыми под требования.

Лично мне кажется, что мало какие услуги могут облегчить жизнь человеку, который заводит компанию под требования PCI DSS, хотя стандарт не ограничивает в этом, при условии составления правильного договора с компанией, предоставляющей услугу. При этом стандарт требует четкого указания прав и обязанностей каждой из сторон (в матрице ответственности) и подтверждения соответствия этим требованиям компании-контрагента.


Дмитрий Кармишкин, начальник отдела разработки ЗАО «Платрон»

А в рамках организационной — документирование изменений.

АО «Смартфин», которой принадлежит бренд 2can & ibox, прошло сертификацию на 2016 год по стандарту безопасности данных Payment Card Industry Data Security Standard (PCI DSS).

Основные сложности для быстроразвивающихся сервисов — сохранение необходимого уровня документирования изменений, соблюдение стандартов разработки, сохранение баланса между скоростью вывода новых продуктов и безопасностью.

Мы пользуемся услугами сертифицированного поставщика, который обеспечивает физическое размещение серверной инфраструктуры в соответствии с требованиями стандарта. Но в нашем случае это не сильно облегчило задачу сертификации, поскольку все требования мы можем обеспечить самостоятельно.


Дмитрий Богдашев, генеральный директор АО «Смартфин»

Особую сложность представляют те требования стандарта, которые допускают различные толкования. Это еще один аргумент в пользу привлечения внешних консультантов для первичной сертификации.

Некоторые требования стандарта безопасности данных индустрии платежных карт PCI DSS могут иметь различное толкование как в части применения конкретного пункта, так и в части необходимых мер для соответствия указанным требованиям. Кроме того, выполнение требований подразумевает материальную нагрузку в виде дополнительных затрат на специализированные средства защиты и персонал.

При внедрении новой функциональности в рамках проектов с платежными системами еще на этапе проектирования необходимо проанализировать материально-техническую базу компании или банка на соответствие требованиям стандарта PCI DSS и убедиться в наличии необходимых дополнительных мер по защите данных, шифрованию, логированию и аудиту. Это все способствует увеличению стоимости реализации и сопровождения проектов, но обеспечивает безопасность обслуживания платежных операций и соответствие обязательным стандартам платежных систем.


Кирилл Свириденко, генеральный директор ООО «Мультикарта»

Так или иначе, все участники рынка электронных платежных систем сходятся во мнении, что задача внедрения стандарта PCI DSS — весьма трудоемкая, требует значительных временных и финансовых затрат. Но эти инвестиции окупаются.

Прохождение ежегодного аудита на PCI DSS — сложная и ресурсоемкая задача, позволяющая контролировать внутренние бизнес-процессы и сохранность клиентских данных. Проект большой, задействованы разные подразделения, много координационных и прочих работ. Мероприятие достаточно недешевое, но в данном случае скупой платит дважды.

Нурлан Жагипаров, управляющий директор Казкоммерцбанк

Однако при достаточном уровне технической компетенции и времени на реализацию требований внедрение PCI DSS не является проблемой.

У нас своя команда опытных специалистов в области безопасности с высоким экспертным уровнем. Мы самостоятельно полностью прорабатываем все вопросы, связанные с аудитом на соответствие стандарту PCI DSS. Требования международных платежных систем направлены на безопасность. Эти требования вполне четкие и понятные. Их просто следует выполнить. Для этого необходимы ресурсы и время.

Кирилл Василенко, директор ArsenalPay

Комментарии (0)


Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn