Preverjanje po standardih PCI DSS

 V letu 2016 je bil SIQ potrjen pri PCI Security Standards Council za preverjanje po standardih PCI DSS in tako postal prva organizacija iz JV Evrope, ki lahko izvaja takšno preverjanje.

Potrdilo smo pridobili za tehnično preverjanje varnosti sistemov (ASV – Approved Scanning Vendor) kot tudi za revizije sistemov (QSA – Qualified Security Assessor). Za pridobitev potrdil smo se pripravljali več kot dve leti, opravili številna usposabljanja in urejali zahtevana zavarovanja odgovornosti. Poleg tega smo morali opraviti številne preskuse usposobljenosti laboratorija za varnostno preverjanje skladnosti z zahtevami PCI DSS (Payment Card Industry Data Security Standard).

PCI DSS je varnostni standard mednarodnih plačilnih sistemov, kot so MasterCard, Visa, American Express. Predstavlja nabor zahtev in postopkov za ustrezno zaščito podatkov uporabnika kreditnih in plačilnih kartic, pri čemer morajo vse organizacije, ki obdelujejo, prenašajo ali hranijo kartične podatke, zadostiti njegovim zahtevam. Skladnost dokazujejo z letnimi revizijami QSA, samoocenjevanjem SAQ ali četrtletnimi pregledi ranljivosti ASV. Zahtevani načini preverjanja so po vsem svetu obvezni za trgovce, banke kot tudi za vse druge organizacije, ki upravljajo s takimi podatki (npr. za procesne centre za obdelavo kartičnih transakcij).

Zahteve po varnosti podatkov in upoštevanju določil PCI DSS se povečujejo tudi v ostalih organizacijah. V celotnem procesu ugotavljanja skladnosti lahko s temi organizacijami sodelujejo tudi naši strokovnjaki. Postopek se običajno začne s samoocenjevanjem in izpolnjevanjem vprašalnika SAQ. Pri tem analiziramo razkorak (pregled upoštevanja kontrol standarda PCI DSS ter dejanskega stanja varnosti). Poleg tega izvajamo revizije QSA. Le-te vključujejo temeljit pregled informacijskega okolja, ki je del kartičnega poslovanja, in se zaključi s poročilom o skladnosti.

V SIQ imamo vzpostavljen laboratorij za tehnično preverjanje informacijske varnosti, v katerem izvajamo najbolj kompleksne vdorne/penetracijske teste ter preverjanje ranljivosti. Varnost informacijskih sistemov je namreč z razmahom elektronskega poslovanja postala ključnega pomena za poslovanje organizacij. Varna postavitev in vzdrževanje informacijske infrastrukture sta še posebej pomembna, saj s kompleksnostjo in raznolikostjo informacijskih sistemov narašča možnost varnostnih pomanjkljivosti, težje pa jih je tudi odkriti. Celovit pregled informacijske infrastrukture obsega splošni pregled ranljivosti, zunanji in notranji varnostni pregled, pri čemer preglede ranljivosti izvajamo skladno z zahtevami PCI DSS ASV. Rezultat je izjava o skladnosti s podrobnim poročilom o odkritih ranljivostih, razvrščenih po lestvici CVSS (mednarodno priznana in javno objavljena lestvica ranljivosti informacijskih sistemov).

Mag. Miha Ozimek je na SIQ-ju že več kot deset let. Ukvarja se z revizijami informacijskih sistemov ter presojami sistemov vodenja kakovosti in varovanja informacij. Vodi oddelek preverjanja varnosti informacijskih tehnologij.