Сервис «PCI DSS beCloud»
Сервис «PCI DSS beCloud»

Сервис «PCI DSS beCloud»

PSI DSS

Предоставляется клиентам, заинтересованным в прохождении процедуры оценки соответствия стандарту PCI DSS.

Требования PCI DSS обязательны для соблюдения компаниями, взаимодействующими в своих процессах с крупнейшими платежными системами. Наличие сертификата PCI DSS подтверждает готовность организации клиента к обеспечению защиты от кражи клиентской информации и других мошеннических действий при обслуживании транзакций.

beCloud проходит ежегодную процедуру сертификации Республиканского центра обработки данных (далее – РЦОД) на соответствие требованиям международного стандарта PCI DSS (Payment Card Industry Data Security Standard). Соответствие РЦОД требованиям PCI DSS v.4.0. гарантирует надежность и высокий уровень физической безопасности дата-центра.

В качестве поставщика услуги «Предоставление инфраструктуры РЦОД» (Сolocation) в соответствии с требованиями PCI DSS beCloud несет ответственность за соответствие требованиям следующих разделов в сфере (области) дата-центров (ЦОДов)*:

9: Ограничение физического доступа к данным о держателях карт.

10: Регистрация и контроль доступа к компонентам системы и данным о держателях карт.

11: Регулярные проверки безопасности систем и сетей.

12: Поддержка информационной безопасности с помощью организационных Политик и программ.

* детальная информация по выполняемым требованиям предоставляется по запросу.

Обращаем внимание на дополнительные возможности, предлагаемые beCloud.

В связи с тем, что предоставляемый beCloud сертификат обеспечивает выполнение значимой, но не всеобъемлющей части требований безопасности, и не избавляет от необходимости поддержания в актуальном и применяемом состоянии политики информационной безопасности, отслеживания уязвимостей, выполнения сканирований, пентестов и других мероприятий в соответствии с требованиями стандарта предлагаем дополнить комплекс используемых средств услугами, реализующими ключевые аспекты надежной системы информационной и кибербезопасности, которая может дополнить ваши усилия по соблюдению требований PCI DSS. Ниже представлен их перечень и информация о соответствии требованиям стандарта.

Наименование услуги Описание требования стандарта PCI DSS
«Доступ к ПО Лаборатории Касперского» 5.3 Поддерживаются, активны и контролируются механизмы и процессы защиты от вредоносных программ.
«Управление уязвимостями» (Vulnerability Management) 2.2 Компоненты системы надежно управляются и настраиваются.

6.3 Выявляются и устраняются уязвимости в системе безопасности.

6.3.2 Для облегчения управления уязвимостями и исправлениями ведется инвентаризация программного обеспечения, изготовленного на заказ, и программных компонентов сторонних производителей, включенных в программное обеспечение, изготовленное на заказ.

11.3 Внешние и внутренние уязвимости регулярно выявляются, определяются приоритеты и устраняются.

11.3.1 Периодическая проверка уровня безопасности всех системных компонентов с использованием автоматизированных инструментов, предназначенных для обнаружения уязвимостей внутри сети. Обнаруженные уязвимости оцениваются и устраняются на основе формальной оценки рисков.
«Защита веб-приложений» 6.4 Общедоступные веб-приложения защищены от атак.
«Услуга по обеспечению кибербезопасности ОИИ» 10.4 Журналы аудита просматриваются для выявления аномалий или подозрительной активности.

10.4.1 Потенциально подозрительные или аномальные действия быстро выявляются, чтобы свести к минимуму воздействие.

10.4.1.1 Используются автоматизированные механизмы для проведения обзора журналов аудита.

12.10 На предполагаемые и подтвержденные инциденты безопасности, которые могут повлиять на CDE, реагируют немедленно.

12.10.5 Реагирование на предупреждения, генерируемые системами мониторинга безопасности, которые специально разработаны для выявления потенциального риска для данных, имеет решающее значение для предотвращения взлома, и поэтому это должно быть включено в процессы реагирования на инциденты.
«Тестирование на проникновение» (на этапе запуска) 11.4 Регулярно проводится внешнее и внутреннее тестирование на проникновение, а также исправляются уязвимые места и слабые места в системе безопасности.
«Сканирование веб-приложений» (Blackbox) 11.3 Внешние и внутренние уязвимости регулярно выявляются, определяются приоритеты и устраняются.
«Лицензии на ПО Kaspersky Automated Security Awareness Platform» 5.4 Механизмы защиты от фишинга защищают пользователей от фишинговых атак.

12.6 Просвещение по вопросам безопасности является постоянной деятельностью.