Немного о практической реализации PCI DSS

on

Немного о практической реализации PCI DSS

        В своей прошлой статье я попытался ответить на вопрос зачем бизнесу и ИТ нужен PCI DSS. А теперь хочу поделиться некоторыми практическими аспектами реализации.

     Компания Teleperformance Россия и Украина в марте 2014 года получила сертификат PCI DSS как поставщик услуг уровня 1, что дает нам возможность работать с любым количеством финансовых транзакций.

   Основные моменты:

1) Внедрение PCI  - это не быстро.
             Мы это делали своими руками и головами, привлекая только внутренних аудиторов из головной компании (Teleperformance  Group). Соответственно, это заняло около 2-х лет. По размерам у нас ~ 2000 сотрудников в России и Украине, 4-ре офиса. 

2) Внедрение PCI  - это не очень дорого, хотя...
           Все зависит от уровня зрелости вашей компании в области информационных технологий (ИТ) и информационной безопасности (ИБ). Но, как я уже отметил, никаких внешних партнеров мы не привлекали, т.е. дополнительных затрат по статье SG&A IT - Consulting не было. Дополнительных сотрудников мы не нанимали. Основные затраты - это привлечение внешней компании (QSA) для самого процесса сертификации. Это порядка 25 тыс. дол. США, при условии, что тест на проникновение делаете своими силами.


3) Внедрение PCI  - это не только ИТ или ИБ

         По нашей статистике для обеспечения соответствующего уровня безопасности (PCI DSS, ISO 27000) необходимо, чтобы в процессах активно участвовали следующие подразделения:
ИТ, безопасность, кадры, операционное подразделение (в нашем случае - это центр обработки вызовов), юристы. 

 




В заключение хочу выделить самые сложные моменты с точки зрения ИТ:

  • процесс управления изменениями
  • процесс управления обновлениями
  • процесс устранения уязвимостей
  • политика чистого рабочего места

  Управление изменениями не должно быть формальностью, сами изменения должны содержать необходимую информацию и должны согласовываться.

   Управление обновлениями и устранение уязвимостей  - тесно связаны. И при наличии большого числа компьютеров и серверов это создает большую нагрузку на ИТ. Совет: установка обновлений и устранение уязвимостей должны быть постоянными задачами ИТ с периодичностью максимум один месяц или еще чаще.

   Применение требований политики чистого рабочего места - это работа с людьми и должен быть частью операционных процессов.


Comments

Post a Comment