Dodržanie PCI DSS Merchant a TPSPs
Multi-Card Security Program (SMCSP) od STEALTH-ISS Inc. je určený
pre obchodníkov a sprostredkovateľov služieb (TPSP). Tento program
poskytuje jednoduchú a na náklady nenáročnú metódu validácie, ktorá
je v súlade s bezpečnostnými požiadavkami všetkých hlavných
asociácií kreditných kariet, vrátane:
·
Visa Canada Account Information (AIS) program
·
Visa USA Cardholder Information Security Program (CISP)
·
American Express Data Security Operating Policy (DSOP)
· Discover
Information Security and Compliance (DISC) program
·
MasterCard Site Data Protection (SDP) program
Koncom roka 2004 boli všetky regulácie na ochranu dát od asociácií
platobných kariet zhrnuté v Norme o bezpečnosti dát (Data security
standard - DSS) vydanej Payment Card Industry (PCI) (Združenie
platobných kariet). Spĺňanie týchto noriem sa v súčastnosti vyžaduje
od všetkých obchodníkov, vrátane:
Minimálne požiadavky PCI DSS
Každý obchodník, ktorý sa nápoji na internet musí byt preverený. Toto
preverenie je požadované pre všetky internet pripojenia, či už pre
domáce alebo kancelárske prípojky (dial-up, modem, DSL, kábel alebo
Wi-Fi) alebo trvale internet servery ako je napríklad: Website, Mail,
FTP a podobne.
PCI Data Security Standards Risk Management
PCI kladie doraz na šesť hlavných bezpečnostných oblasti a tým splna
dvanásť požiadaviek, ktoré sú použiteľné na všetky systémové komponenty.
Zostavenie a údržba bezpečnej siete
1 Ochrana informácii závisí od inštalácie a údržby bezpečnostnej
konfigurácie
2 Nepoužívať volne predajné nastavenia v súvislosti s heslami a inými
bezpečnostnými parametrami
• Sprostredkujeme vám nielen technológie, ale aj konfigurácie všetkých
komponentov spájajúcich základné technické požiadavky, ktoré vám
zabezpečia bezpečnú sieť.
Ochrana držiteľa karty
3 Ochrana uložených informácií
4 Je potrebné zakódovať informácie držiteľa karty a prenos tajných
informácií v rámci verejnej siete
• Existuje množstvo kódovacích zariadení, ktoré je možné použiť, ale nie
všetky zodpovedajú vysokým technickým požiadavkám. Naše odporúčania
a moderné technológie na uloženie tajných informácii spolu so
zrozumiteľným návodom na kódovanie a manažment sú schválené a používané
obchodným i vládnym sektorom. Zabezpečíme informácie držiteľa karty pre
bezpečné použitie v rámci tradičnej a bezdrôtovej siete.
Údržba poruchových manažérskych programov
5 Je nutné používať a pravidelne aktualizovať antivírusove software
6 Je potrebné vyvinúť a udržiavať bezpečnostný systém a aplikácie
• Na základe vašej infraštruktúry vám navrhneme optimálne riešenie na
ochranu dôležitých informácií a zároveň vám poskytneme ochranu vašej
infraštruktúry, spoločnej databázy, ako i ochranu pred počítačovými
pirátmi a inými narušiteľmi. Zároveň odbremeníme vašu administratívu od
množstva práce čím vám ušetrime peniaze a zefektívnime chod vašej
spoločnosti.
Zaveďte dôslednú kontrolu prístupov
7 Obmedzte prístup k informáciám na základe overeného súhlasu
8 Prideľte každej osobe s prístupom k informáciám individuálny preukaz
9 Obmedzte fyzický prístup k informáciám držiteľa karty
• Zavedieme silnú kontrolu prístupu pre správne riadenie identifikácie,
ako aj aspekty fyzického zaistenia vrátane uchovávania a ničenia údajov
držiteľa karty a ďalších citlivých finančných záležitostí.
Pravidelne monitorujte a udržiavajte siete
10 Sledujte a monitorujte všetky prístupy do sieťových zdrojov a údajov
držiteľa karty
11 Pravidelne overujte bezpečnostné systémy a procesy
• Na monitorovanie a udržiavanie siete existuje veľa nástrojov, ale
ktorý je ten správny pre vás? My odporúčame vhodné technologické
riešenia, akými sú Systémy odhalenia narušenia siete, Systémy odhalenia
hostiteľského narušenia siete a kontrola integrity súborov pre váš
vlastný monitoring. Dokonca pre vás vykonávame aj povinné pravidelné
testovanie bezpečnostných systémov a procesov, vrátane pravidelného
snímania náchylnosti na poruchy a testovania neoprávnených vniknutí.
Zachovajte politiku ochrany a bezpečnosti informácií
12 Zachovajte politiku, ktorá sa zameriava na ochranu a bezpečnosť
informácií
• Posledná požiadavka na formálne zásady and postupy zahŕňa plán odoziev
na dopady. Berúc do úvahy, že táto oblasť sa často prehliada a vždy ju
preverujú audítori, táto požiadavka by pravdepodobne mala byt prvou.
Účinné bezpečnostné plány sa neuveriteľné ťažko implementujú bez
správneho základu vybudovaného na zásadách a postupoch, ale my máme
ročné skúsenosti v tejto oblasti a poskytneme vám našu vlastnú
bezpečnostnú politiku.
Služby pre obchodníkov, poskytovatelov služieb a tretie strany
Nezáleží na tom, či ste malo- alebo veľkoobchodníkmi alebo
poskytovatelmi služieb, SMCSP ponúka profesionálny prístup a postup, aby
zosúladil vaše prostredie s normou bezpečnosti údajov PCI. Sústreďujeme
sa na tieto hlavné zložky:
·
Zhromažďovanie dokumentov / evidencie
Norma bezpečnosti údajov organizácií PCI vyžaduje dokumentáciu
a evidenciu ako súčasť procesu hodnotenia MCCP. Dokumentácia zahŕňa,
ale neobmedzuje sa na bezpečnostnú politiku a postupy, konfiguračné
dokumenty a sieťové diagramy.
·
Obsahová analýza dokumentu/dokumentácie
Na potvrdenie súladu s normou o ochrane údajov PCI (priemyslu
platobných kariet) je potrebný prehľad celej dokumentácie. Akékoľvek
oblasti nesúladu budú odhalené počas tejto počiatočnej fázy.
·
Stanovenie na mieste
STEALTH - ISS®
a.s.
bude viest rozhovory s hlavnými obchodnými a
prevádzkovými zamestnancami a vykonávať požadované testy, ktoré
vysvetľujú normu o ochrane dát PCI.
·
Zisťovanie porúch
Máme skúsených odborníkov, ktorí použijú najmodernejšiu technológiu
a know-how na určenie porúch v súlade s normou o ochrane údajov PCI.
·
Testy zraniteľnosti
V súlade s povinnosťou 10 Visa CISP (Program na ochranu údajov o
držiteľovi platobnej karty) a pravidla 2 Discover DISC (Program na
ochranu odhalených údajov a zhody), ktoré vyžadujú, aby sa každý rok
alebo po každej dôležitej zmene na sieti vykonávali vstupné testy,
vypracováva STEALTH - ISS® a.s. vstupný test na zhodnotenie ochrany
vášho vonkajšieho (Internet) prostredia.
STEALTH - ISS® a.s. podáva plnú dokumentáciu z auditu, vrátane správy
o zhode pre program, aby vám pomohla schváliť zhodu s normou o
ochrane údajov PCI.
O nás
» 
