PCI DSS и ISO 27001

Risky Behavior

Payment Card Industry Data Security Standard (PCI DSS) -Стандардот за безбедност на податоци во индустријата на платежни картички е развиен за да се зголеми и зајакне безбедноста на податоците на сопственикот на картичката и да се олесни адаптирањето кон постојните безбедносни мерки за заштита на податоците на глобално ниво. PCI DSS обезбедува основа за технички и оперативни барања дизајнирани со цел да се заштитат податоците на картичката. PCI DSS се однесува на сите субјекти вклучени во процесирањето на платежната картичка - вклучувајќи ги трговците, преработувачите на податоците на картичката, издавачите на картичките, и давателите на услуги, како и сите други субјекти кои ги чуваат, процесираат или пренесуваат податоците на сопственикот на картичката (cardholder data -CHD) и / или податоци со кои се утврдува идентитетот на сопственикот на картичката (sensitive authentication data- SAD).

Во оваа дигитална ера компаниите кои ги процесираат податоците на картичките се мета на финансиски измами. Целта на PCI стандардот за безбедноста на податоците (PCI DSS) е да се заштитат податоците на картичката каде и да се обработуваат, чуваат или пренесуваат.

Најновата верзија на верзијата 3 од стандардот е од ноември 2013.

  

 Types of data

Подолу е преглед на 12-те барања на PCI DSS:

PSI DSS requirements

 

Процесот за усогласување со PCI DSS стандардот се состои од следниве активности:

1. PCI DSS Опсег – утврдување кои компоненти на системот се регулирани со PCI DSS

2. Проценка – испитување за усогласеноста на компонентите на системот со опсегот

3. Контроли за надомест – проценувачот потврдува алтернативни технологии/процеси за контрола

4. Известување - проценувачот и/или правното лице ја поднесува потребната документација

5. Појаснувања - проценувачот и/или правното лице го појаснува/апдејтира извештајот на барање на банката или брендот на платежната картичка

 

ISO 27001 е меѓународно призната и независна спецификација за управување со безбедноста на информациите. Таа обезбедува широка листа на најдобри практики за безбедносни контроли кои мора да се земат во предвид во примената на контролна рамка за безбедност на информациите во организацијата. Овие контроли вклучуваат усогласување со технички, процедурални, човечки ресурси и правни контроли и ригорозен систем на внатрешна и независна надворешна ревизија.

Стандардот е широко прифатен како репер за совршенство во безбедноста на информациите и рамка за утврдување на процесите за управување со безбедноста на информациите. ИСО 27001 стандардот е апликативен на многу широк спектар на информациски системи, идентификувајќи безбедносни контроли на генерички (технолошки независен) начин и дефинирајќи процеси базирани на ризик за систематска селекција на безбедносните контроли кои се базирани на резултатите од проценката на ризикот и управувањето со ризикот. Резултат од имплементацијата на ISO 27001 треба да биде добро поставен систем за управување со безбедноста со претходно дефиниран опсег, кој води кон континуирано подобрување. Сертификацијата по ISO 27001 е континуиран процес. Откако ќе се усогласите со контролите на стандардот, и надворешниот ревизор го потврди тоа, сертификатот треба да се обновува на годишна основа.

 

Двата стандарди придонесуваат за нивото на зрелост на безбедноста на информациите и за една компанија која нуди некаков вид на е-трговија во своето портфолио на услуги, се препорачува да се стекне со двата стандарди, и ISO 27001 и PCI DSS.

Од мапирањето на барањата на двата стандарди може да се извлечат следните заклучоци

1. Најприменливите барања од ISO 27001 во PCI DSS се оние кои се однесуваат на Управување со комуникации и операции, Контрола на пристап и Превземање, развој и одржување на информациски системи.

2. ISO 27001 треба да се користи како основа за сите други стандарди за безбедност, дури и ако не сте и официјално усогласени т.е. немате стекнато сертификат. 

3. Стандард со таков специфичен дизајн како PCI DSS треба да се користи во комбинација со безбедностен стандард како ISO/IEC 27001 за успешно да се постигне силен систем за управување со безбедноста на информации (ISMS) кој ќе разјаснува кои контроли се поставени и како се управувани.

4. Спроведувањето на менаџмент системи од аспект на ISO/IEC 27001, исто така, обезбедува континуирано подобрување на програмата за безбедност на информациите во организацијата, со прифаќање на докажаниот Plan-Do-Check-Act циклус за континуирано подобрување.