PCI DSS — это стандарт безопасности информации, данных индустрии платёжных карт, который разработал Совет по стандартам безопасности индустрии платёжных карт , таких как Payment Card Industry Security Standards Council, PCI SSC, учредили их Visa, MasterCard, American Express, JCB и Discover.
Требования, которые предъявляет стандарт распространяются на все компании, работающие с международными платёжными системами, такие как банки, торгово-сервисные предприятия, поставщики технологических услуг и многие другие организации, деятельность и сфера услуг которых связана с обработкой, передачей и хранением данных о держателях платёжных карт.
PCI DSS комплекс руководств по безопасности
Стандарт PCI DSS вырабатывает требования к защищённости компонентов структуры, в которой передаётся, обрабатывается или хранится информация о платёжных картах. Проверка платёжной инфраструктуры на соответствие этим требованиям выявляет причины, которые значительно снижают уровень её защищённости. Там есть тесты на проникновение, заказать Пентест (Pentest), которые входят в список обязательных мероприятий, определенных стандартом PCI DSS, изображает реальный уровень защищённости информационных ресурсов компании, как с позиции злоумышленника, находящегося за пределами исследуемого периметра, так и с позиции сотрудника компании, имеющего доступ «изнутри».
Главный орган PCI DSS сформулировал ключевые требования по организации защиты данных в документе «Стандарт безопасности данных индустрии платёжных карт (PCI DSS)». Требования и процедуры оценки безопасности. Версия 3.0». Эти требования собраны в группы таким образом, чтобы упростить и облегчить процедуру аудита безопасности.
Тест на проникновение
Проведение внешнего и внутреннего тестирования на проникновение является обязательным для успешного прохождения сертификационного аудита на соответствие требованиям стандарта.
В большинстве организаций тестирование на проникновение является обязательной стадией при проведении анализа рисков. Это особенно актуально при введении новых систем в эксплуатацию или после изменений в инфраструктуре, когда можно упустить момент изменения рисков информационной безопасности.
Тестирование на проникновение позволит оценить изменившиеся риски и проконтролировать выполнение процессов обеспечения информационной безопасности.
