Illustration

Аудити відповідності

IT Specialist - акредитована компанія зі статусом QSA (Qualified Security Assessor), QPA (Qualified PIN Assessor), 3DS Security and ASV (Approve Scanning Vendor), яка надає послуги аудиту на відповідність вимогам стандарту PCI DSS, PIN Security, 3DS Security, SWIFT і отримання сертифіката відповідності.

Наша команда експертів з інформаційної безпеки має досвід роботи в галузі понад 10 років.

Наші послуги з аудиту

Загальні відомості про PCI DSS

Payment Card Industry Data Security Standard – це сукупність вимог щодо забезпечення безпеки даних про власників платіжних карт, які зберігаються, передаються та обробляються в інформаційних системах організацій. Стандарт розроблений Радою за стандартами безпеки індустрії платіжних карт (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як: Visa, MasterCard, American Express, JCB і Discover.

Кому необхідно проходити аудит PCI DSS

PCI DSS поширюється на всі організації, які беруть участь в обробці платіжних карток, включаючи продавців, процесорів, еквайєрів, емітентів і постачальників послуг. PCI DSS також застосовується до всіх інших організацій, які зберігають, обробляють або передають дані власника картки (CHD) та/або конфіденційні дані автентифікації (SAD).

Як часто потрібно підтверджувати сертифікацію PCI DSS

Сертифікацію PCI DSS потрібно підтверджувати щорічно.

Результати від сертифікації на відповідність вимогам стандарту PCI DSS

    Звіти за результатами зовнішніх ASV і внутрішніх сканувань мережі (після кожного сканування)

    Звіти за результатами внутрішнього та зовнішнього тестування на проникнення

    Звіти за результатами WiFi-сканування

    Доопрацьований пакет нормативної документації в сфері інформаційної безпеки

    Заповнені та валідовані звіти Report on Compliance (RoC) або Self-Assessment Questionnaire (SAQ) і Attestation of Compliance (AoC)

    Сертифікат відповідності вимогам стандарту PCI DSS

Етапи надання послуги

  • 1

    Підготовка до сертифікаційного аудиту


    1. Проведення попереднього аудиту2. Проведення зовнішнього сканування вразливостей мережі (ASV)3. Проведення внутрішнього сканування вразливостей мережі4. Оцінка захищеності мережі компанії клієнта шляхом виконання зовнішнього й внутрішнього пентесту5. Пошук неавторизованих Wi-Fi точок доступу6. Тестування на проникнення засобів контролю сегментації мережі

  • 2

    Сертифікаційний аудит PCI DSS


    1. Збір і аналіз організаційно-нормативної документації, інформації про системні компоненти Cardholder Data Environment (CDE) клієнта2. Аналіз процесів, пов’язаних із захистом та супроводом системних компонент у CDE3. Аудит відповідності системних компонент CDE клієнта вимогам стандарту PCI DSS:● Інтерв’ювання співробітників клієнта (третьої сторони в разі необхідності) відповідно до процедури аудиту, розробленої консорціумом PCI SSC й адаптованої QSA консультантом● Аналіз налаштувань і конфігурацій системних компонент CDE клієнта● Формування доказової бази відповідності системних компонент CDE клієнта вимогам стандарту PCI DSS4. Аналіз звітів про оцінку захищеності зовнішнього та внутрішнього периметра мережі CDE клієнта5. Розробка звітних документів для банків-еквайрів і міжнародних платіжних систем Report on Compliance (RoC) або Self-Assessment Questionnaire (SAQ), а також Attestation of Compliance (AoC)6. Надсилання AOC консультантом до міжнародної платіжної системи VISA для підтвердження успішного завершення аудиту PCI DSS

Загальні відомості про PCI PIN Security

PCI PIN Security Standard є документом додаткових вимог VISA, який визначає технічні та процедурні засоби контролю, які допомагають у безпечному управлінні, обробці та передачі даних PIN-коду власника картки під час обробки транзакцій з платіжних карток у режимі онлайн та офлайн у банкоматах та POS-терміналах.

Кому необхідно проходити аудит PCI PIN Security

PCI PIN Security standard застосовується до всіх організацій та агентів-еквайєрів (наприклад, організації які виконують операції по введенню ключів і процесорами сертифікатів), відповідальних за обробку транзакцій PIN-коду.

Як часто потрібно підтверджувати сертифікацію PCI PIN Security

Сертифікацію PCI PIN Security потрібно підтверджувати кожні два роки.

Результати від сертифікації на відповідність вимогам стандарту PCI PIN Security

    Доопрацьований пакет нормативної документації в сфері інформаційної безпеки
    Заповнені й валідовані звіти Report on Compliance (RoC) і Attestation of Compliance (AoC)
    Сертифікат відповідності вимогам стандарту PCI PIN Security

Етапи надання послуги

  • 1

    Підготовка

    Підготовка до сертифікаційного аудиту включає в себе проведення попереднього аудиту для визначення поточного стану і надання рекомендацій до приведення процесів, технічних засобів та нормативної документації у відповідність вимогам PCI PIN Security.

  • 2

    Сертифікація


    1. Збір та аналіз організаційно-нормативної документації2. Аналіз процесів, пов'язаних із життєвим циклом PIN-кодів та процесів керування ключами3. Аудит відповідності системних компонентів клієнта вимогам стандарту PCI PIN Security:● Інтерв'ювання співробітників клієнта (третьої компанії у разі потреби) згідно з процедурою аудиту● Аналіз налаштувань та конфігурацій системних компонентів PCI PIN Security клієнта● Формування доказової бази відповідності клієнта вимогам стандарту PCI PIN Security4. Розробка звітних документів для банків-еквайрів і міжнародних платіжних систем Report on Compliance (RoC), а також Attestation of Compliance (AoC)5. Надсилання AOC консультантом до міжнародної платіжної системи VISA для підтвердження успішного завершення аудиту PIN Security клієнтом6. Надання сертифіката відповідності стандартам PCI PIN Security (у разі повної відповідності вимогам PCI PIN Security)

Загальні відомості про PCI 3DS

Стандарт безпеки PCI 3DS визначає фізичні та логічні вимоги безпеки для захисту середовищ, де виконуються функції ACS, DS та/або 3DSS.

Кому необхідно проходити аудит PCI 3DS

Стандарт безпеки PCI 3DS застосовується до середовищ, де виконуються функції ACS, DS та/або 3DSS. Це можуть бути як емітенти, так і сервіс-провайдери, які пропонують послуги ACS, DS та/або 3DSS.

Як часто потрібно підтверджувати сертифікацію PCI 3DS

Сертифікацію PCI 3DS потрібно підтверджувати щорічно.

Результати від сертифікації на відповідність вимогам стандарту 3DS

    Звіти за результатами зовнішніх ASV і внутрішніх сканувань мережі (після кожного сканування).
    Звіти за результатами внутрішнього та зовнішнього тестування на проникнення.
    Доопрацьований пакет нормативної документації у сфері інформаційної безпеки
    Заповнені й валідовані звіти Report on Compliance (RoC) і Attestation of Compliance (AoC)
    Сертифікат відповідності вимогам стандарту PCI 3DS

Етапи надання послуги

  • 1

    Підготовка


    1. Підготовка до сертифікаційного аудиту включає в себе проведення попереднього аудиту для визначення поточного стану і надання рекомендацій до приведення процесів, технічних засобів та нормативної документації у відповідність вимогам PCI 3DS2. Проведення зовнішнього сканування вразливостей мережі (ASV)3. Проведення внутрішнього сканування вразливостей мережі4. Оцінка захищеності мережі компанії клієнта шляхом виконання зовнішнього й внутрішнього пентесту

  • 2

    Сертифікація


    1. Збір і аналіз організаційно-нормативної документації, інформації про системні компоненти 3DS середовища клієнта2. Аналіз процесів, пов’язаних із захистом та супровідом системних компонент у 3DS середовищі3. Аудит відповідності системних компонент 3DS середовища клієнта вимогам стандарту PCI 3DS:● Інтерв’ювання співробітників клієнта (третьої сторони в разі необхідності) відповідно до процедури аудиту, розробленої консорціумом PCI SSC й адаптованої PCI 3DS Assessor консультантом● Аналіз налаштувань і конфігурацій системних компонент 3DS середовища● Формування доказової бази відповідності системних компонент 3DS середивища клієнта вимогам стандарту PCI 3DS4. Аналіз звітів про оцінку захищеності зовнішнього та внутрішнього периметра мережі 3DS середовища клієнта5. Розробка звітних документів для банків-еквайрів і міжнародних платіжних систем Report on Compliance (RoC), а також Attestation of Compliance (AoC)6. Надсилання AOC консультантом до міжнародної платіжної системи VISA для підтвердження успішного завершення аудиту PCI 3DS

Загальні відомості про SWIFT

Програма безпеки користувачів (SWIFT Customer Security Programme - CSP), розроблена для спільної роботи SWIFT та її користувачів із метою підвищення загальної безпеки фінансової екосистеми.CSP визначає набір загальних елементів контролю безпеки під назвою «Концепція забезпечення безпеки користувачів» (SWIFT Customer Security Controls Framework - CSCF), яка допомагає клієнтам захистити свої локальні середовища та створити більш безпечну фінансову екосистему.Концепція забезпечення безпеки користувачів (CSCF) SWIFT включає обов'язкові та рекомендовані елементи контролю для користувачів SWIFT. 

Кому необхідно проходити зовнішню незалежну оцінку SWIFT

З 2021 року зовнішню незалежну оцінку мають проходити всі користувачі спільноти SWIFT. Тип архітектури підключення до SWIFT визначає елементи контролю, зазначених у SWIFT CSP, що будуть застосовані до організації.

Як часто потрібно проходити зовнішню незалежну оцінку SWIFT

Зовнішню незалежну оцінку SWIFT CSP потрібно проходити кожні два роки або кожен рік після внесення значних змін в ІТ-архітектурі SWIFT.

Результати від оцінки відповідності SWIFT

    Звіт у форматі SWIFT з виконання контролів, вказаних у документі "Система контролю безпеки клієнтів" (Customer Security Controls Framework)
    Лист із підписом аудитора про завершення зовнішньої незалежної оцінки

Етапи надання послуги

  • Підготовка Підготовка до зовнішньої незалежної оцінки включає в себе проведення попереднього аудиту для визначення поточного стану і надання рекомендацій до приведення процесів, технічних засобів та нормативної документації у відповідність вимогам системи контролю безпеки клієнтів (Customer Security Controls Framework).

    Зовнішня незалежна оцінка SWIFT та консалтингова підтримка 1. Аналіз, систематизація та уточнення вихідних даних про компоненти апаратно-програмного комплексу SWIFT2. Визначення та затвердження області аудиту3. Ідентифікація всіх третіх осіб, що беруть участь у захисті або впливають на безпеку апаратно-програмного комплексу SWIFT4. Аналіз відповідності наявної нормативно-розпорядчої документації з інформаційної безпеки (політик, регламентів та інструкцій) банку, яку вимагає документ "Структура контролю безпеки клієнтів" (Customer Security Controls Framework) і консультаційна підтримка в створенні відсутніх документів5. Інтерв'ювання співробітників банку (третьої компанії у разі потреби) відповідно до процедури аудиту6. Аналіз налаштувань апаратно-програмного комплексу SWIFT, аналіз складу та характеристик апаратних і програмних засобів передачі інформації та захисту інформації7. Надання усних та письмових консультацій телефоном та електронною поштою8. Формування доказової бази відповідності системних компонент SWIFT контролям, вказаним у документі "Система контролю безпеки клієнтів" (Customer Security Controls Framework)



Загальні відомості про ISO/IEC 27001

ISO 27001 – це стандарт, розроблений Міжнародною організацією зі стандартизації (ISO), який докладно розповідає, як управляти інформаційною безпекою в компанії.

Кому необхідно проходити аудит ISO/IEC 27001

Стандарт ISO/IEC 27001:2013 необов’язковий для впровадження. Але якщо компанія хоче продемонструвати свою прихильність інформаційній безпеці своїм клієнтам, партнерам, то сертифікат ISO/IEC 27001:2013 буде доказом, що інформаційна безпека організована на високому рівні й постійно покращується в компанії.      

Як часто потрібно проходити аудит ISO/IEC 27001

Один раз на рік зовнішній аудит та кожен рік наглядовий після зовнішнього аудиту.  

Результати від сертифікації на відповідність вимогам стандарту ISO/IEC 27001

    Складено звіт про аудит поточного стану СУІБ із пропозиціями щодо усунення виявлених невідповідностей вимогам Стандарту
    Вибрано та затверджено методику управління інформаційними ризиками та розроблено звіт про їх оцінку
    Складено та затверджено план обробки ризиків
    Розроблено пакет внутрішньої нормативної документації з підтримки СУІБ
    Створено звіт за результатами внутрішнього аудиту СУІБ
    Розроблено положення про застосування
    Отримано сертифікат відповідності СУІБ стандарту ISO/IEC 27001

Етапи надання послуги

  • 1

    Підготовка до сертифікаційного аудиту


    1. Визначення та затвердження області аудиту2. Проведення аудиту поточного стану СУІБ● Аналіз відповідності наявної нормативно-розпорядчої документації з інформаційної безпеки (політик, регламентів та інструкцій) компанії, яку вимагає стандарт ISO/IEC 27001:2013● Інтерв'ювання співробітників компанії (третьої компанії у разі потреби) відповідно до процедури аудиту● Аналіз налаштувань, складу і характеристик апаратних і програмних засобів передачі інформації та захисту інформації3. Проведення аналізу інформаційних ризиків4. Розробка нормативної документації СУІБ

  • 2

    Консультаційний супровід запровадження СУІБ

    1. Розробка пакету внутрішньої нормативної документації з підтримки СУІБ2. Розробка пакетів проєктних планів щодо впровадження СУІБ на основі існуючих інформаційних систем та бізнес-процесів3. Консультаційний супровід при впровадженні запланованих проєктів СУІБ4. Розробка звіту за результатами аналізу впровадження СУІБ

  • 3

    Сертифікаційний аудит ISO/IEC 27001


    1. Проведення внутрішнього аудиту СУІБ● Розробка методики внутрішнього аудиту СУІБ● Розробка плану внутрішнього аудиту СУІБ● Створення звіту за результатами внутрішнього аудиту СУІБ● Проведення аналізу СУІБ із боку керівництва● Розробка положення про застосування2. Вибір органу сертифікації3. Консультаційний супровід процедури сертифікації СУІБ

Загальні відомості про NIST CSF

NIST Cyber Security Framework (NIST CSF) – це рамковий стандарт Національного інституту стандартизації США (NIST). Цей стандарт формує підхід до розуміння, оцінки, планування та впровадження функцій кібербезпеки для підприємств, які є об'єктами критичної інфраструктури.

Кому необхідно проходити аудит відповідності згідно NIST CSF

Стандарт NIST CSF є необов’язковим для впровадження. Але якщо компанія хоче продемонструвати свою прихильність інформаційній безпеці або поліпшити реальний стан кібербезпеки, то аудит відповідності вимогам стандарту допоможе чітко зрозуміти, спланувати та пріоритезувати необхідні кроки для досягнення надійного рівня кіберзахисту.

Даний стандарт є основою для оцінки стану кібербезпеки в проєктах, що виконуються в рамках проєктів USAID в Україні.      



Результати проєкту з аудиту, діагностики системи кібербезпеки на відповідність вимогам NIST CSF

    Складено звіт про поточний стан кібербезпеки з оцінкою ступеню впровадження кожного контролю стандарту
    Сформовано цільовий стан кібербезпеки та складено цільовий профіль кіберзахисту
    Розроблені рекомендації з досягнення цільового стану кібербезпеки
    Створено 1-3-річну дорожню карту проєктів із кібербезпеки, спрямованих на досягнення цільового рівня

Етапи надання послуги

  • 1

    Діагностичний аудит і оцінка поточного стану кібербезпеки по кожному контролю NIST CSF


  • 2

    Визначення та обґрунтування цільового рівня кібербезпеки


  • 3

    Розробка та обговорення рекомендацій із поліпшення кібербезпеки


  • 4

    Розробка дорожньої карти проєктів для досягнення цільового рівня кібербезпеки


Додаткові переваги 

  • Для CEO/CFO

    Зниження ризиків втрати та/або витоку конфіденційної інформації, прозорі процеси для забезпечення безпеки бізнес-інформації● Більш легкий вихід на зовнішні ринки, IPO, M&A● Підвищення довіри при роботі з іноземними контрагентами

  • Для CIO/CSO/CISO

    ● Підвищення загального рівня інформаційної безпеки в компанії● Вибудовані процеси управління та забезпечення інформаційної безпеки компанії ● Процеси контрольовані та керовані● Швидке реагування на більшість типів як старих, так і нових загроз

  • Для співробітників компанії

    Чіткі та зрозумілі механізми дій у різних ситуаціях, пов’язаних із питаннями інформаційної безпеки

Чому ми?

Допомога у досягненні відповідності вимогам регуляторів

Сертифікуємо в стислі терміни

Безкоштовно проконсультуємо з будь-яких питань відносно SWIFT, PCI DSS, PCI PIN Security, PCI 3DS, ISO 27001, NIST CSF

Допоможемо у спілкуванні з вашими банками чи платіжними шлюзами з питань SWIFT, PCI DSS, PCI PIN Security, PCI 3DS, ISO 27001, NIST CSF

Кваліфіковані спеціалісти у галузі ІБ з сертифікатами QSA, ASV, QPA, 3DS Assessor, CISSP, CISA, ISO 27001, OSCP, CEH, NIST CSF

Англомовні та україномовні аудитори і консультанти

Досвід роботи на ринках України та у світі

Наші компетенції

Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration