ARinteg.ru
  • Москва
  • Санкт-Петербург
  • Екатеринбург
  • +7 (495) 221 21 41
  • +7 (812) 407 34 71
  • +7 (343) 247 83 68
instagram facebook home print mail site-map  

Соответствие стандарту безопасности платёжных карт

№1(32)/2019 / BIS Journal №1(32)/2019

Соответствие стандарту безопасности платёжных карт

Каждый день в мире детектируется порядка 350 тысяч новых вредоносных программ, которые угрожают безопасности сетевой инфраструктуры финансовых организаций и международных платёжных систем. Защитить транзакции и своевременно установить различного рода уязвимости призвана процедура ASV-сканирования. О том, для чего проводится данная проверка, рассказывают специалисты компании ARinteg — одного из ведущих российских системных интеграторов по информационной безопасности.

ASV-сканирование: что это такое?

ASV-сканирование — это процедура ежеквартальной проверки всех точек подключения к сети интернет на наличие уязвимостей. Разработана Советом по стандартам безопасности данных индустрии платёжных карт (создан по инициативе American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa, Inc.).

Кто обязан проходить проверку?

Процедура ASV-сканирования на предмет соответствия требованиям международного стандарта безопасности PCI DSS распространяется на все организации, которые хранят, обрабатывают или передают данные держателей платёжных карт.

Такие компании классифицируются, исходя из объёма транзакций, проводимых в течение года:

4 уровень — до 20 тысяч транзакций в год (ежеквартальное сканирование внешних адресов на наличие уязвимостей и заполнение листа самооценки);
3 уровень — от 20 тысяч до 1 миллиона транзакций в год (аналогичные требования, что и для компаний 4-го уровня);
2 уровень — от 1 миллиона до 6 миллионов транзакций в год (ежеквартальное сканирование с привлечением компании-аудитора);
1 уровень — более 6 миллионов транзакций в год (проводится только с привлечением независимого аудитора).

Отдельная градация существует в отношении сервисных компаний и процессинговых центров.

Как подтвердить соответствие требованиям стандарта PCI DSS?

Для прохождения ASV-сканирования необходимо обратиться к специализированным поставщикам услуг, аккредитованным Советом по стандартам безопасности данных индустрии платёжных карт.

ARinteg статус ASV-провайдера впервые был присвоен более трёх лет назад. Ежегодно компания успешно подтверждает свой экспертный уровень.

Опираясь на многолетний опыт аудита защищённости внешнего периметра и внутренних сетей, специалисты системного интегратора по информационной безопасности помогают успешно проходить необходимые процедуры проверки на предмет соответствия PCI DSS.

В чём особенности инструментального сканирования?

Наряду с ASV-сканированием компания ARinteg предлагает организациям с развитой сетевой инфраструктурой воспользоваться услугой инструментального аудита информационной безопасности.

Данная проверка представляет собой комплексный анализ технологических уязвимостей автоматизированных систем, корректности работы конфигурационных настроек и степени защиты аутентификационной информации.

Инструментальное сканирование даёт возможность составить объективную картину о текущем состоянии корпоративной информационной системы, на основе которой будут выработаны приоритетные меры для предупреждения киберрисков.

Специалисты компании рекомендуют помимо ежеквартальных проверок на предмет соответствия стандарту PCI DSS внести в годовой план не менее четырёх инструментальных сканирований. Это позволит каждые полтора месяца получать экспертную оценку актуальности уровня информационной безопасности ИТ-инфраструктуры организации.

Как проходит процедура ASV-сканирования?

Сканирование проводится удалённо в формате выделенного технологического окна в течение 24 часов. Дату и время сканирования можно согласовать индивидуально.

Процедура ASV-сканирования абсолютно безопасна и не влияет на производительность сетевой инфраструктуры.

Необходимо ли заранее готовится к проверке?

На время проведения проверки обязательным требованием стандарта PCI DSS является отключение (переключение в режим мониторинга) средств активной защиты, основанных на поведенческом анализе (IPS, WAF).

В случае использования балансировщиков трафика требуется подтверждение синхронизации сетевых потоков.

Что происходит во время проверки?

В рамках тестирования определяется наличие доступных IP-адресов из списка, предоставленного заказчиком, проводится сканирование всего диапазона TCP-портов и стандартных UDP-портов.

Осуществляется попытка точной идентификации используемых версий операционных систем и запущенных сервисов вне зависимости от используемых платформ.

Процедура проверки позволяет:

Какой документ выдается по итогам ASV-сканирования?

По результатам сканирования предоставляется отчёт, в котором указываются подтверждённые и потенциальные уязвимости с развёрнутой информацией по каждой из них — уровень риска, статус PCI, CVSS-оценка, семейство, CVE-код, а также рекомендации по приведению информационной системы в соответствие со стандартом PCI DSS.

В случае выявления недопустимых уязвимостей критичностью выше 4 уровня, заказчик может оспорить их справедливость, предоставив подтверждения ложного срабатывания сканера.

При обнаружении средств удалённого доступа, POS-терминалов или иных механизмов приёма платежей, возможности листинга директорий потребуется обоснование необходимости и защищённости применяемых решений.

Более подробно узнать о преимуществах ASV-сканирования от ARinteg и оставить заявку на проведение проверки можно с помощью специализированного сервиса – https://asv.arinteg.ru.

Теги:

Перейти к списку статей
qrcode
pci


abiss
      facebook   instagram