Безпечна інтеграція в майбутнє
Аудит
IT Specialist - акредитована компанія зі статусом QSA (Qualified Security Assessor), QPA (Qualified PIN Assessor), 3DS Security and ASV (Approve Scanning Vendor), яка надає послуги аудиту на відповідність вимогам стандарту PCI DSS, PIN Security, 3DS Security, SWIFT і отримання сертифіката відповідності.
Наша команда експертів з інформаційної безпеки має досвід роботи в галузі понад 10 років.
Наші послуги з аудиту
Загальні відомості про PCI DSS
Payment Card Industry Data Security Standard – це сукупність вимог щодо забезпечення безпеки даних про власників платіжних карт, які зберігаються, передаються та обробляються в інформаційних системах організацій. Стандарт розроблений Радою за стандартами безпеки індустрії платіжних карт (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як: Visa, MasterCard, American Express, JCB і Discover.
Кому необхідно проходити аудит PCI DSS
PCI DSS поширюється на всі організації, які беруть участь в обробці платіжних карток, включаючи продавців, процесорів, еквайєрів, емітентів і постачальників послуг. PCI DSS також застосовується до всіх інших організацій, які зберігають, обробляють або передають дані власника картки (CHD) та/або конфіденційні дані автентифікації (SAD).
Як часто потрібно підтверджувати сертифікацію PCI DSS
Сертифікацію PCI DSS потрібно підтверджувати щорічно.
Результати від сертифікації на відповідність вимогам стандарту PCI DSS
Етапи надання послуги
Підготовка до сертифікаційного аудиту
1. Проведення попереднього аудиту2. Проведення зовнішнього сканування вразливостей мережі (ASV)3. Проведення внутрішнього сканування вразливостей мережі4. Оцінка захищеності мережі компанії клієнта шляхом виконання зовнішнього й внутрішнього пентесту5. Пошук неавторизованих Wi-Fi точок доступу6. Тестування на проникнення засобів контролю сегментації мережіСертифікаційний аудит PCI DSS
1. Збір і аналіз організаційно-нормативної документації, інформації про системні компоненти Cardholder Data Environment (CDE) клієнта2. Аналіз процесів, пов’язаних із захистом та супроводом системних компонент у CDE3. Аудит відповідності системних компонент CDE клієнта вимогам стандарту PCI DSS:● Інтерв’ювання співробітників клієнта (третьої сторони в разі необхідності) відповідно до процедури аудиту, розробленої консорціумом PCI SSC й адаптованої QSA консультантом● Аналіз налаштувань і конфігурацій системних компонент CDE клієнта● Формування доказової бази відповідності системних компонент CDE клієнта вимогам стандарту PCI DSS4. Аналіз звітів про оцінку захищеності зовнішнього та внутрішнього периметра мережі CDE клієнта5. Розробка звітних документів для банків-еквайрів і міжнародних платіжних систем Report on Compliance (RoC) або Self-Assessment Questionnaire (SAQ), а також Attestation of Compliance (AoC)6. Надсилання AOC консультантом до міжнародної платіжної системи VISA для підтвердження успішного завершення аудиту PCI DSS
Загальні відомості про PCI PIN Security
PCI PIN Security Standard є документом додаткових вимог VISA, який визначає технічні та процедурні засоби контролю, які допомагають у безпечному управлінні, обробці та передачі даних PIN-коду власника картки під час обробки транзакцій з платіжних карток у режимі онлайн та офлайн у банкоматах та POS-терміналах.
Кому необхідно проходити аудит PCI PIN Security
PCI PIN Security standard застосовується до всіх організацій та агентів-еквайєрів (наприклад, організації які виконують операції по введенню ключів і процесорами сертифікатів), відповідальних за обробку транзакцій PIN-коду.
Як часто потрібно підтверджувати сертифікацію PCI PIN Security
Сертифікацію PCI PIN Security потрібно підтверджувати кожні два роки.
Результати від сертифікації на відповідність вимогам стандарту PCI PIN Security
Етапи надання послуги
Підготовка
Підготовка до сертифікаційного аудиту включає в себе проведення попереднього аудиту для визначення поточного стану і надання рекомендацій до приведення процесів, технічних засобів та нормативної документації у відповідність вимогам PCI PIN Security.
Сертифікація
1. Збір та аналіз організаційно-нормативної документації2. Аналіз процесів, пов'язаних із життєвим циклом PIN-кодів та процесів керування ключами3. Аудит відповідності системних компонентів клієнта вимогам стандарту PCI PIN Security:● Інтерв'ювання співробітників клієнта (третьої компанії у разі потреби) згідно з процедурою аудиту● Аналіз налаштувань та конфігурацій системних компонентів PCI PIN Security клієнта● Формування доказової бази відповідності клієнта вимогам стандарту PCI PIN Security4. Розробка звітних документів для банків-еквайрів і міжнародних платіжних систем Report on Compliance (RoC), а також Attestation of Compliance (AoC)5. Надсилання AOC консультантом до міжнародної платіжної системи VISA для підтвердження успішного завершення аудиту PIN Security клієнтом6. Надання сертифіката відповідності стандартам PCI PIN Security (у разі повної відповідності вимогам PCI PIN Security)
Загальні відомості про PCI 3DS
Стандарт безпеки PCI 3DS визначає фізичні та логічні вимоги безпеки для захисту середовищ, де виконуються функції ACS, DS та/або 3DSS.
Кому необхідно проходити аудит PCI 3DS
Стандарт безпеки PCI 3DS застосовується до середовищ, де виконуються функції ACS, DS та/або 3DSS. Це можуть бути як емітенти, так і сервіс-провайдери, які пропонують послуги ACS, DS та/або 3DSS.
Як часто потрібно підтверджувати сертифікацію PCI 3DS
Сертифікацію PCI 3DS потрібно підтверджувати щорічно.
Результати від сертифікації на відповідність вимогам стандарту 3DS
Етапи надання послуги
Підготовка
1. Підготовка до сертифікаційного аудиту включає в себе проведення попереднього аудиту для визначення поточного стану і надання рекомендацій до приведення процесів, технічних засобів та нормативної документації у відповідність вимогам PCI 3DS2. Проведення зовнішнього сканування вразливостей мережі (ASV)3. Проведення внутрішнього сканування вразливостей мережі4. Оцінка захищеності мережі компанії клієнта шляхом виконання зовнішнього й внутрішнього пентестуСертифікація
1. Збір і аналіз організаційно-нормативної документації, інформації про системні компоненти 3DS середовища клієнта2. Аналіз процесів, пов’язаних із захистом та супровідом системних компонент у 3DS середовищі3. Аудит відповідності системних компонент 3DS середовища клієнта вимогам стандарту PCI 3DS:● Інтерв’ювання співробітників клієнта (третьої сторони в разі необхідності) відповідно до процедури аудиту, розробленої консорціумом PCI SSC й адаптованої PCI 3DS Assessor консультантом● Аналіз налаштувань і конфігурацій системних компонент 3DS середовища● Формування доказової бази відповідності системних компонент 3DS середивища клієнта вимогам стандарту PCI 3DS4. Аналіз звітів про оцінку захищеності зовнішнього та внутрішнього периметра мережі 3DS середовища клієнта5. Розробка звітних документів для банків-еквайрів і міжнародних платіжних систем Report on Compliance (RoC), а також Attestation of Compliance (AoC)6. Надсилання AOC консультантом до міжнародної платіжної системи VISA для підтвердження успішного завершення аудиту PCI 3DS
Загальні відомості про SWIFT
Програма безпеки користувачів (SWIFT Customer Security Programme - CSP), розроблена для спільної роботи SWIFT та її користувачів із метою підвищення загальної безпеки фінансової екосистеми.CSP визначає набір загальних елементів контролю безпеки під назвою «Концепція забезпечення безпеки користувачів» (SWIFT Customer Security Controls Framework - CSCF), яка допомагає клієнтам захистити свої локальні середовища та створити більш безпечну фінансову екосистему.Концепція забезпечення безпеки користувачів (CSCF) SWIFT включає обов'язкові та рекомендовані елементи контролю для користувачів SWIFT.
Кому необхідно проходити зовнішню незалежну оцінку SWIFT
З 2021 року зовнішню незалежну оцінку мають проходити всі користувачі спільноти SWIFT. Тип архітектури підключення до SWIFT визначає елементи контролю, зазначених у SWIFT CSP, що будуть застосовані до організації.
Як часто потрібно проходити зовнішню незалежну оцінку SWIFT
Зовнішню незалежну оцінку SWIFT CSP потрібно проходити кожні два роки або кожен рік після внесення значних змін в ІТ-архітектурі SWIFT.
Результати від оцінки відповідності SWIFT
Етапи надання послуги
Підготовка Підготовка до зовнішньої незалежної оцінки включає в себе проведення попереднього аудиту для визначення поточного стану і надання рекомендацій до приведення процесів, технічних засобів та нормативної документації у відповідність вимогам системи контролю безпеки клієнтів (Customer Security Controls Framework).
Зовнішня незалежна оцінка SWIFT та консалтингова підтримка 1. Аналіз, систематизація та уточнення вихідних даних про компоненти апаратно-програмного комплексу SWIFT2. Визначення та затвердження області аудиту3. Ідентифікація всіх третіх осіб, що беруть участь у захисті або впливають на безпеку апаратно-програмного комплексу SWIFT4. Аналіз відповідності наявної нормативно-розпорядчої документації з інформаційної безпеки (політик, регламентів та інструкцій) банку, яку вимагає документ "Структура контролю безпеки клієнтів" (Customer Security Controls Framework) і консультаційна підтримка в створенні відсутніх документів5. Інтерв'ювання співробітників банку (третьої компанії у разі потреби) відповідно до процедури аудиту6. Аналіз налаштувань апаратно-програмного комплексу SWIFT, аналіз складу та характеристик апаратних і програмних засобів передачі інформації та захисту інформації7. Надання усних та письмових консультацій телефоном та електронною поштою8. Формування доказової бази відповідності системних компонент SWIFT контролям, вказаним у документі "Система контролю безпеки клієнтів" (Customer Security Controls Framework)
Загальні відомості про ISO/IEC 27001
ISO 27001 – це стандарт, розроблений Міжнародною організацією зі стандартизації (ISO), який докладно розповідає, як управляти інформаційною безпекою в компанії.
Кому необхідно проходити аудит ISO/IEC 27001
Стандарт ISO/IEC 27001:2013 необов’язковий для впровадження. Але якщо компанія хоче продемонструвати свою прихильність інформаційній безпеці своїм клієнтам, партнерам, то сертифікат ISO/IEC 27001:2013 буде доказом, що інформаційна безпека організована на високому рівні й постійно покращується в компанії.
Як часто потрібно проходити аудит ISO/IEC 27001
Один раз на рік зовнішній аудит та кожен рік наглядовий після зовнішнього аудиту.
Результати від сертифікації на відповідність вимогам стандарту ISO/IEC 27001
Етапи надання послуги
Підготовка до сертифікаційного аудиту
1. Визначення та затвердження області аудиту2. Проведення аудиту поточного стану СУІБ● Аналіз відповідності наявної нормативно-розпорядчої документації з інформаційної безпеки (політик, регламентів та інструкцій) компанії, яку вимагає стандарт ISO/IEC 27001:2013● Інтерв'ювання співробітників компанії (третьої компанії у разі потреби) відповідно до процедури аудиту● Аналіз налаштувань, складу і характеристик апаратних і програмних засобів передачі інформації та захисту інформації3. Проведення аналізу інформаційних ризиків4. Розробка нормативної документації СУІБКонсультаційний супровід запровадження СУІБ
1. Розробка пакету внутрішньої нормативної документації з підтримки СУІБ2. Розробка пакетів проєктних планів щодо впровадження СУІБ на основі існуючих інформаційних систем та бізнес-процесів3. Консультаційний супровід при впровадженні запланованих проєктів СУІБ4. Розробка звіту за результатами аналізу впровадження СУІБ
Сертифікаційний аудит ISO/IEC 27001
1. Проведення внутрішнього аудиту СУІБ● Розробка методики внутрішнього аудиту СУІБ● Розробка плану внутрішнього аудиту СУІБ● Створення звіту за результатами внутрішнього аудиту СУІБ● Проведення аналізу СУІБ із боку керівництва● Розробка положення про застосування2. Вибір органу сертифікації3. Консультаційний супровід процедури сертифікації СУІБ
Загальні відомості про NIST CSF
NIST Cyber Security Framework (NIST CSF) – це рамковий стандарт Національного інституту стандартизації США (NIST). Цей стандарт формує підхід до розуміння, оцінки, планування та впровадження функцій кібербезпеки для підприємств, які є об'єктами критичної інфраструктури.
Кому необхідно проходити аудит відповідності згідно NIST CSF
Стандарт NIST CSF є необов’язковим для впровадження. Але якщо компанія хоче продемонструвати свою прихильність інформаційній безпеці або поліпшити реальний стан кібербезпеки, то аудит відповідності вимогам стандарту допоможе чітко зрозуміти, спланувати та пріоритезувати необхідні кроки для досягнення надійного рівня кіберзахисту.
Даний стандарт є основою для оцінки стану кібербезпеки в проєктах, що виконуються в рамках проєктів USAID в Україні.
Результати проєкту з аудиту, діагностики системи кібербезпеки на відповідність вимогам NIST CSF
Етапи надання послуги
Діагностичний аудит і оцінка поточного стану кібербезпеки по кожному контролю NIST CSF
Визначення та обґрунтування цільового рівня кібербезпеки
Розробка та обговорення рекомендацій із поліпшення кібербезпеки
Розробка дорожньої карти проєктів для досягнення цільового рівня кібербезпеки
Додаткові переваги
Для CEO/CFO
● Зниження ризиків втрати та/або витоку конфіденційної інформації, прозорі процеси для забезпечення безпеки бізнес-інформації● Більш легкий вихід на зовнішні ринки, IPO, M&A● Підвищення довіри при роботі з іноземними контрагентами
Для CIO/CSO/CISO
● Підвищення загального рівня інформаційної безпеки в компанії● Вибудовані процеси управління та забезпечення інформаційної безпеки компанії ● Процеси контрольовані та керовані● Швидке реагування на більшість типів як старих, так і нових загроз
Для співробітників компанії
Чіткі та зрозумілі механізми дій у різних ситуаціях, пов’язаних із питаннями інформаційної безпеки
Чому ми?
Допомога у досягненні відповідності вимогам регуляторів
Сертифікуємо в стислі терміни
Безкоштовно проконсультуємо з будь-яких питань відносно SWIFT, PCI DSS, PCI PIN Security, PCI 3DS, ISO 27001, NIST CSF
Допоможемо у спілкуванні з вашими банками чи платіжними шлюзами з питань SWIFT, PCI DSS, PCI PIN Security, PCI 3DS, ISO 27001, NIST CSF
Кваліфіковані спеціалісти у галузі ІБ з сертифікатами QSA, ASV, QPA, 3DS Assessor, CISSP, CISA, ISO 27001, OSCP, CEH, NIST CSF
Англомовні та україномовні аудитори і консультанти
Досвід роботи на ринках України та у світі