Компания «Информзащита» успешно прошла сертификацию и получила статус PCI ASV-вендора (Approved Scanning Vendor) на собственный сканер.
Данный статус подтверждает соответствие решения интегратора требованиям PCI Security Standards Council (PCI SSC), а также полное соответствие требованиям Программы безопасности российской платежной системы «МИР» (НСПК), так как сканер расположен на территории России, и результаты сканирования хранятся также в РФ.
ASV-сканирование – это обязательная процедура стандарта PCI DSS, выполнение которого требуется PCI SSC и НСПК. Эта процедура направлена на выявление уязвимостей на доступных из сети Интернет сетевых ресурсах организаций, работающих с данными платежных карт (ДПК).
Требования PCI DSS устанавливают:
- ежеквартальное сканирование с использованием только аккредитованных ASV-вендоров, сертифицированных PCI Security Standards Council;
- обязательное повторение процедуры сканирования при выявлении критических уязвимостей;
- получение отчетов с результатами процедуры сканирования, оформленных в соответствии с требованиями PCI SSC и необходимых для подтверждения соответствия PCI DSS перед PCI SSC и НСПК.
Особо стоит отметить, что с 2024 года Программа безопасности платежной системы «МИР» предъявляет дополнительные требования к процедуре сканирования и к вендорам ASV - использование ASV-сканера, компоненты которого полностью размещены на территории России и результаты сканирования хранятся и обрабатываются также только на территории РФ.
«Получение статуса PCI ASV на собственное решение «Информзащиты» дает нам право проводить сертифицированные сканирования, помогая организациям в полной мере соответствовать требованиям PCI DSS и Программе безопасности российской платежной системы «МИР», - подчеркивает директор Департамента консалтинга и аудита «Информзащиты» Александр Барышников.
Решение «Информзащиты» представляет из себя подписку на 1 год, которая включает ежеквартальное сканирование внешних ресурсов, повторные сканирования при необходимости, подготовку отчетов в соответствии с требованиями PCI SSC и консультационную поддержку по устранению выявленных уязвимостей.