Сервис PCI DSS beCloud
Предоставляется клиентам, заинтересованным в прохождении процедуры оценки соответствия стандарту PCI DSS.
Требования PCI DSS обязательны для соблюдения компаниями, взаимодействующими в своих процессах с крупнейшими платежными системами. Наличие сертификата PCI DSS подтверждает готовность организации клиента к обеспечению защиты от кражи клиентской информации и других мошеннических действий при обслуживании транзакций.
beCloud проходит ежегодную процедуру сертификации Республиканского центра обработки данных (далее – РЦОД) на соответствие требованиям международного стандарта PCI DSS (Payment Card Industry Data Security Standard). Соответствие РЦОД требованиям PCI DSS v.4.0. гарантирует надежность и высокий уровень физической безопасности дата-центра.
В качестве поставщика услуги «Предоставление инфраструктуры РЦОД» (Сolocation) в соответствии с требованиями PCI DSS beCloud несет ответственность за соответствие требованиям следующих разделов в сфере (области) дата-центров (ЦОДов)*:
9: Ограничение физического доступа к данным о держателях карт.
10: Регистрация и контроль доступа к компонентам системы и данным о держателях карт.
11: Регулярные проверки безопасности систем и сетей.
12: Поддержка информационной безопасности с помощью организационных Политик и программ.
* детальная информация по выполняемым требованиям предоставляется по запросу.
Дополнительные возможности, предлагаемые beCloud:
Будьте внимательны: предоставляемый beCloud сертификат обеспечивает выполнение значимой, но не всеобъемлющей части требований информационной безопасности. Необходимо своевременно актуализировать политику информационной безопасности своей организации, отслеживать уязвимости, выполнять сканирования, пентесты и другие мероприятия.
В соответствии с требованиями стандарта PCI DSS мы предлагаем дополнить комплекс используемых средств услугами, реализующими ключевые аспекты надежной системы информационной и кибербезопасности, которая может дополнить ваши усилия по соблюдению требований стандарта.
Ниже представлена информация о соответствии требованиям стандарта PCI DSS.
| Наименование услуги | Описание требования стандарта PCI DSS* |
|---|---|
| «Доступ к ПО Лаборатории Касперского» | 5.3 Поддерживаются, активны и контролируются механизмы и процессы защиты от вредоносных программ. |
| «Управление уязвимостями» (Vulnerability Management) |
2.2 Компоненты системы надежно управляются и настраиваются. 6.3 Выявляются и устраняются уязвимости в системе безопасности. 6.3.2 Для облегчения управления уязвимостями и исправлениями ведется инвентаризация программного обеспечения, изготовленного на заказ, и программных компонентов сторонних производителей, включенных в программное обеспечение, изготовленное на заказ. 11.3 Внешние и внутренние уязвимости регулярно выявляются, определяются приоритеты и устраняются. 11.3.1 Периодическая проверка уровня безопасности всех системных компонентов с использованием автоматизированных инструментов, предназначенных для обнаружения уязвимостей внутри сети. Обнаруженные уязвимости оцениваются и устраняются на основе формальной оценки рисков. |
| «Защита веб-приложений» | 6.4 Общедоступные веб-приложения защищены от атак. |
| «Услуга по обеспечению кибербезопасности ОИИ» |
10.4 Журналы аудита просматриваются для выявления аномалий или подозрительной активности. 10.4.1 Потенциально подозрительные или аномальные действия быстро выявляются, чтобы свести к минимуму воздействие. 10.4.1.1 Используются автоматизированные механизмы для проведения обзора журналов аудита. 12.10 На предполагаемые и подтвержденные инциденты безопасности, которые могут повлиять на CDE, реагируют немедленно. 12.10.5 Реагирование на предупреждения, генерируемые системами мониторинга безопасности, которые специально разработаны для выявления потенциального риска для данных, имеет решающее значение для предотвращения взлома, и поэтому это должно быть включено в процессы реагирования на инциденты. |
| «Тестирование на проникновение» (на этапе запуска) | 11.4 Регулярно проводится внешнее и внутреннее тестирование на проникновение, а также исправляются уязвимые места и слабые места в системе безопасности. |
| «Сканирование веб-приложений» (Blackbox) | 11.3 Внешние и внутренние уязвимости регулярно выявляются, определяются приоритеты и устраняются. |
| «Лицензии на ПО Kaspersky Automated Security Awareness Platform» |
5.4 Механизмы защиты от фишинга защищают пользователей от фишинговых атак. 12.6 Просвещение по вопросам безопасности является постоянной деятельностью. |
* детальная информация по выполняемым требованиям предоставляется по запросу.