QSA-аудит
Проверка проводится только для юрлиц, являющихся финансовыми организациями, платежными шлюзами или дата-центрами. Второе обязательное условие — минимум 300 000 транзакций в год. Дополнительным условием является регулярное ASV-сканирование в автоматическом режиме.
Аудит затрагивает только инфраструктуру предприятия, которая отвечает за платежные системы, поэтому заказчику рекомендуется заранее изолировать необходимую часть сети.
Требования аудита
При прохождении проверки к организации предъявляется более 250 требований. Они подразделяются на 6 групп.
- Создание и поддержка защищенной инфраструктуры предприятия.
- Обеспечение конфиденциальности информации о владельцах банковских карт.
- Внедрение политик и программно-аппаратных комплексов по предотвращению уязвимостей в инфраструктуре компании.
- Введение жестких мер контроля доступа внутри организации.
- Постоянный мониторинг и тестирование всех элементов инфраструктуры предприятия.
- Обновление политики информационной безопасности в соответствии с актуальными требованиями стандарта PCI DSS.
Результаты QSA аудита
Аудитор проводит проверку на соответствие требованиям стандарта PCI DSS. Он собирает свидетельства проверки и документированное подтверждение. По результату проверки клиент предоставляется отчет о соответствии.
В случае успешного прохождения проверки выдается свидетельство о соответствии и сертификат соответствия. Они действительны в течение одного года с момента окончания аудита. Свидетельство в дальнейшем отправляется в международные платежные системы (VISA, Master Card) или в банки-эквайеры. Результаты QSA-проверки хранятся в течение 3 лет.
Предыдущая статья