Revista si suplimente
MarketWatch
Inapoi Inainte

Cinci īntrebări privind standardul de securitate PCI DSS

28 Noiembrie 2009



În articolele anterioare am realizat o scurtă descriere a standardului PCI DSS şi au fost enumerate entităţile aflate sub incidenţa standardului. Totodată, am arătat cum este promulgată şi validată alinierea la cerinţele PCI DSS, precum şi care este termenul limită de aliniere la cerinţele acestuia. În ultimul articol din această serie dedicată standardului PCI DSS vom urmări paşii ce trebuie parcurşi pentru alinierea la cerinţele PCI DSS.


Ce trebuie făcut pentru alinierea la cerinţele standardului PCI DSS?

Deşi pentru alinierea la cerinţele PCI DSS vor trebui iniţiate o serie de acţiuni specifice fiecărei entităţi, un prim pas în această direcţie poate fi contactarea Băncii Emitente/Beneficiare, în cazul Comercianţilor, sau VISA, MasterCard, în cazul Băncilor Emitente/Beneficiare , pentru clarificarea aplicabilităţii standardului, definirea nivelului de clasificare, identificarea cerinţelor adiţionale de validare care diferă în funcţie de zona în care se află entitatea (USA, Canada, Europa, EMEA etc.) şi determinarea termenului limită de aliniere. În ce priveşte Furnizorii de servicii de procesare, aceştia pot contacta fie Băncile Emitente/Beneficiare, fie VISA/MasterCard, în funcţie de conectarea, directă sau nu, la reţele de plăţi ale brandurilor respective.


Un alt pas important este identificarea şi contractarea unei companii acreditate în calitate de ASV (Approved Scanning Vendor) pentru efectuarea scanărilor de securitate trimestriale ale infrastructurii IT, precum şi a unui QSA (Qualified Security Assessor) pentru monitorizarea implementării PCI DSS şi validarea finală a implementării. Atât lista companiilor ASV, precum şi lista companiilor care livrează servicii de QSA sunt disponibile pe website-ul PCI Security Standards Council (www.pcisecuritystandards.org).


În continuare, trebuie determinat domeniul de aplicare a PCI DSS, care cuprinde procesele de business, componentele IT şi personalul care se află sub incidenţa acestui standard, iar ulterior va fi elaborat un plan detaliat de implementare. Planul de implementare poate fi făcut conform metodei „Prioritized Approach for DSS 1.2”, dezvoltată de către PCI Security Standards Council şi publicată pe website-ul său. La această etapă este importantă implicarea unui QSA pentru definirea corectă a domeniului de aplicare a PCI DSS. Totodată, implicarea unui QSA vă asigură că planul elaborat, precum şi implementarea ulterioară a acestuia sunt în concordanţă cu adevăratul “spirit” al standardului. Astfel vor fi excluse posibilele erori de implementare, datorate interpretării incorecte a cerinţelor standardului, care pot avea consecinţe negative atât asupra întregului cost de implementare, cât şi a termenului limită de validare.


Un ultim pas în procesul de aliniere este validarea fie prin intermediul unui audit efectuat de către QSA, fie prin completarea cu ajutorul QSA a chestionarului de autoevaluare SAQ (Self-Assessment Questionnaire). Atât auditul, cât şi completarea chestionarului trebuie făcute anual pentru validarea continuă a alinierii la cerinţele PCI DSS.


De reţinut este faptul că procesul de aliniere la cerinţele PCI DSS este unul complex, care poate dura de la 8 luni la 2 ani, în funcţie de complexitatea infrastructurii IT, de structura de guvernare a entităţii şi de competenţa personalului.
În acest context, este important ca procesul de implementare a standardului să se înceapă în timp util, pentru a reuşi atingerea obiectivelor de conformitate PCI DSS impuse.


Veaceslav I. Puşcaşu
Information Security Consultant, PCI QSA
Consultancy Division - Endava


Endava este o companie de servicii IT cu peste 500 de angajaţi şi operaţiuni în Marea Britanie, USA, România şi R. Moldova. Endava are experienţă în consultanţă IT, dezvoltarea, implementarea şi managementul unor aplicaţii critice de business pentru unele dintre cele mai mari companii din lume din domeniile: servicii financiare, telecomunicaţii, media. Endava are competenţe pentru a furniza servicii de consultanţă în domeniul securităţii informaţiei, incluzând consultanţă şi suport pentru implementarea standardului PCI DSS , precum şi servicii de audit pentru validarea alinierii la cerinţele acestui standard.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite