Для получения сертификата соответствия PCI DSS 3.2 компаниям, работающим с международными платежными системами Visa и Mastercard, необходимо соответствовать требованиям стандарта. Такие требования включают в себя следующие процедуры:
- ежемесячное обновление (проверку) компонентов безопасности;
- ежемесячное обновление (проверку) системных компонентов серверов;
- ежеквартальное внешнее ASV-сканирование;
- ежеквартальный анализ беспроводных сетей;
- ежеквартальное внутреннее сканирование;
- ежегодный внутренний и внешний тест на проникновение;
- ежегодная идентификация новых угроз и пересмотр политик ИБ;
- ежегодное обучение (инструктаж) сотрудников отдела ИБ;
- ежегодный анализ общедоступных веб-приложений;
- раз в полгода пересмотр правил межсетевых экранов и маршрутизаторов;
- ежегодный просмотр и контроль работоспособности систем видео-наблюдения;
- ежегодное тестирование плана реагирования на инциденты ИБ.
Состав работ для получения сертификата соответствия PCI DSS 3.2 (ур. 2-4):
- проведение аудита инфраструктуры клиента на соответствие требованиям стандарта;
- формирование отчета со всеми выявленными несоответствиями (check-list);
- предоставление клиенту рекомендаций по изменениям в инфраструктуре для достижения соответствия PCI DSS 3.2;
- исправление всех несоответствий в инфраструктуре клиента;
- проведение финальной проверки на соответствие требованиям всей инфраструктуры после сделанных изменений;
- заполнение SAQ-листа (Self-Assessment Questionnaire) вместе с клиентом.
Состав работ по поддержанию соответствия стандарта PCI DSS 3.2 (ур. 2-4):
- пересмотр правил брандмауэров (ежеквартально);
- внешний скан asv-вендором (ежеквартально);
- внутренний скан всех систем (ежеквартально);
- обнаружение беспроводных сетей организации и доступа к ним (ежеквартально);
- пересмотр оценок соответствия в связи с изменениями (ежегодно);
- обновление политик безопасности (ежегодно);
- подтверждение донесения до персонала правил безопасности (ежегодно).
Услуги в рамках подтверждения соответствия требованиям стандарта PCI DSS 3.2:
Web Application Firewall предназначен для защиты веб-приложений от хакерских атак.
Nemesida WAF на основе машинного обучения полностью соответствует требованиям стандарта PCI DSS и обеспечивает комплексную защиту сайтов, API и других веб-приложений от кибер-угроз. Кроме этого, Nemesida WAF включает сканер уязвимостей, систему виртуального патчинга и множество дополнительных возможностей, способствующих повышению уровня защищенности веб-приложений. Nemesida WAF включен в реестр отечественного ПО и имеет все необходимые свидетельства.
