Audyt PCI QSA to szczegółowe badanie bezpieczeństwa systemu przetwarzania danych kartowych w organizacji. Audyt przeprowadzany jest przez wykwalifikowanego akredytowanego audytora Qualified Security Assessor (QSA), który ocenia wdrożenie zabezpieczeń danych kart płatniczych podmiotu w odniesieniu do wymagań standardu PCI DSS.
SC2labs świadczy usługę audytu PCI DSS, jako akredytowany
przez Radę Standardu audytor PCI QSA.
Opublikowana w marcu 2022 roku nowa wersja Standardu PCI DSS 4.0 zastępuje wersję 3.2.1, żeby uwzględnić zmieniające się środowisko, unowocześniane technologie oraz umożliwić innowacyjne metody zwalczania nowych zagrożeń.
Audyt PCI QSA jest narzędziem walidacji dla:
Level 1 Service Providers :
- TPP (Third Part Processor),
- roczna ilość transakcji ponad 300 000 w systemie Visa/MasterCard
- lub indywidualna decyzja systemów płatniczych
Level 1 Merchant :
- roczna ilość transakcji ponad 6 mln w systemie Visa/MasterCard
- lub stwierdzone naruszenie danych
- lub indywidualna decyzja systemów płatniczych
- organizacje, które zostały poproszone o udowodnienie zgodności przez acquirer-a (niezależnie od rocznej ilości transakcji).
Spotkanie otwierające
Po podpisaniu Umowy o współpracę rozpoczynamy spotkaniem otwierającym. Omówimy proces certyfikacji, określimy osoby kontaktowe z obydwu organizacji, zdefiniujemy ramy czasowe projektu i zaplanujemy kolejne kroki. Audytor przekaże również specjalnie przygotowane materiały, które pomogą zespołowi projektowemu odpowiednio przygotować się do audytu.
Faza przygotowawcza
W tym etapie proponujemy indywidualne podejście uzależnione od Państwa potrzeb, które może obejmować:
- szkolenie/workshop - nasi dedykowani do projektu audytorzy QSA przeprowadzą szkolenie i wyjaśnią wszystkie wymagania standardu PCI DSS, co prowadzi do lepszego zrozumienia procesu i właściwego przygotowania do walidacji formalnie.
- analiza zakresu/scoping – jeden z kluczowych elementów procesu, który pomoże zminimalizować i określić dokładny zakres audytu.
- ocena wstępna (Pre-assessment) lub pełny GAP Assessment. Podczas oceny wstępnej audytor ogólnie przygląda się środowisku i przegląda dokumentację w celu zidentyfikowania ewentualnych braków. Analiza GAP jest bardziej szczegółowym procesem, w którym przeprowadzamy ocenę aktualnej sytuacji w kontrolach bezpieczeństwa, systemach, dokumentacji i środowisku w odniesieniu do wszystkich wymogów zgodności z PCI DSS. Podsumowanie GAP zawiera wszelkie zidentyfikowane rozbieżności oraz niezbędne zalecenia dotyczące działań.
- wsparcie podczas procesu wdrażania zmian - zapewnieniamy wsparcie i doradzamy w trakcie naprawy i implementowania koniecznych poprawek i zmian.
Formalna walidacja
Audyt on-site jest formalnym procesem, w którym akredytowani audytorzy sprawdzają zgodność rozwiązania z wymaganiami standardu PCI DSS. Przeprowadzona zostanie wnikliwa analiza - w tym wywiady z zespołem projektowym oraz wyznaczonymi pracownikami, zgodność z dokumentacją, polityki i procedury. Udokumentowane zostaną wykonane testy i wyniki prowadzonej walidacji.
Opracowanie dokumentacji
Formalna dokumentacja - w tym Raport zostanie przekazana w terminie do 3 tygodni od momentu zakończenia projektu (otrzymania przez audytora wszystkich wymaganych danych/dokumentów/informacji).
Dokumentacja
Dokumentacja obejmuje:
PCI DSS RoC – Report on Compliance
PCI AoC – Attestation of Compliance
QSA Certificate
Na Państwa prośbę dokumenty wysyłamy do również do organizacji płatniczych(VISA/MasterCard).
Wsparcie po zakończeniu projektu
Po zakończeniu projektu certyfikacji oferujemy ciągłe wsparcie w bieżącym utrzymaniu zgodności - wyjaśnimy i wesprzemy w pojawiających się kwestiach i pytaniach.
Mogą Państwo potrzebować również:
Audyt PCI QSA (Audyt) – badanie systemów informatycznych, dokumentów organizacyjnych, polityk, procedur oraz wywiad pracowniczy wykonywany w siedzibie Klienta pod względem zgodności ze standardem PCI DSS.
Audyt PCI ASV – skanowanie PCI ASV – usługi polegające na sprawdzeniu poziomu zabezpieczeń zewnętrznych systemów informatycznych zgodnie z wymogami standardu PCI DSS.
Audyt GAP – badanie stopnia zgodności systemu Klienta z wymogami standardu PCI DSS.
PCI DSS – Payment Card Industry Data Security Standard – Standard Zabezpieczeń Danych dotyczących kart płatniczych wydany przez PCI SSC.
PCI SSC – Payment Card Industry Security Standard Council – Rada Standardu PCI DSS, z adresem: 401 Edgewater Place, Suite 600, Wakefield,MA USA 01880.
PCI QSA – Payment Card Industry Qualified Security Assessor – akredytowany audytor, certyfikowany przez PCI SSC, posiadający uprawnienia do sprawdzania systemów informatycznych do zgodności ze standardem PCI DSS.
PCI ASV – Payment Card Industry Approved Scanning Vendor – akredytowany audytor, certyfikowany przez PCI SSC, posiadający uprawnienia do sprawdzania systemów informatycznych do zgodności ze standardem PCI DSS.
Attestation of Scan Compliance (AoSC) – dokument formalny potwierdzający zgodność sprawdzonych systemów z wymaganiem 11.2 PCI DSS.
Report on Compliance (RoC) – raport poaudytowy opisujący poziom zgodności rozwiązania Klienta z wymaganiami standardu PCI DSS, przeprowadzone testy, wyniki, zalecenia.
Attestation of Compliance (AoC) – potwierdzenie przez PCI QSA zgodności rozwiązania Klienta ze standardem PCI DSS.
Issuer – Bank lub inna organizacja wydająca kartę z upoważnienia organizacji płatniczych np. VISA lub MC.
Acquirer – Bank lub organizacja, której używa merchant do zrealizowania płatności kartami płatniczymi.Otrzymuje żądania autoryzacji i przesyła do wydawcy (Issuer) w celu akceptacji.Świadczy usługi w procesach: authorization, clearing, settlement dla merchanta. Acquirer zazwyczaj to:
Bank Merchanta
Agent rozliczeniowy
Service provider (niekiedy)
Organizacja kartowa (JCB, Discover, Amex)
Nigdy VISA lub MC
Merchant – Organizacja przyjmująca płatności kartami kredytowymi podczas zakupu.
Service Provider – Procesor Transakcji.