Что нужно знать о сертификации ISO 27701, PCI DSS: ее особенности

Информационная безопасность сегодня во главе угла: в эпоху Интернета через сети проходит огромное количество личных данных, которые могут дать фактически полный контроль над жизнью человека или компании: доступ к денежным средствам, адреса и контакты, связи с другими людьми… Поговорим о двух стандартах, связанных с этой проблемой. Если ваш интерес это не просто любопытство, то обязательно прочтите больше про сертификацию на https://compliance-control.ua/ru/. Это большой массив информации со множеством нюансов.

ISO 27701

Это международный сертификат, действующий с 2019. Смысл в том, чтобы подтвердить: все данные в системе у вашей организации защищены надлежащим образом. Ограничений на получение сертификата нет: это может быть и маленькая фирма, и даже физическое лицо. В первую же очередь сертификат, регулирующий построение на предприятии СУИБ (системы по управлению информационной безопасностью) требуется банкам и страховым, медицинским и исследовательским организациям, а также тем, которые связаны с IT, энергетикой, строительством и некоторыми другими направления и деятельности.

Процесс получения сертификата обычно характеризуют как непростой. Он недешево обходится, требует аудитов, анализа инфраструктуры, оценки и устранения всевозможных рисков. Зато появляется гарантия, уверенность в сохранности конфиденциальной информации. А это повышает доверие к вам, вызывает желание сотрудничать.

PCI DSS

Это стандарт безопасности платежных карт. Он имеет международную силу. Его разработкой (2004 год) занимались четыре титана данной индустрии — повсеместно известные Виза и МастерКард и чуть менее распространенные Discover и American Express.

Смысл стандарта очевиден: он нацелен на то, чтобы минимизировать вероятность утечек персональных данных или незаконного использования карточек. Основных принципов шесть.

Безопасность сети, в которой выполняются денежные операции. Адекватные брандмауэры — достаточно мощные, чтобы исключить атаки взломщиков, но не настолько неповоротливые, чтобы использование сервисов превращалось для пользователей в головную боль. Особая генерация паролей и кодов.

Тщательно проверка системы на уязвимости, которые могут стать орудием злоумышленников. Максимально актуальный, постоянно обновляемый комплекс антивирусных мер.

Предельно эффективное шифрование данных пользователей, баз данных — любой персональной информации.

Сохранение в секрете системной информации, исключение доступа к ней частных лиц или представителей корпораций.

Работать над соблюдением всех требований, поддерживать и повышать уровень защиты сети, проверять данные на вредоносные элементы необходимо постоянно.

Соблюдение правил обязательно для всех организаций, которые работают с платежными картами и данными их владельцев, либо могут как-либо на безопасность транзакций. Необходимо наладить контроль за их выполнением.

Но требования не для всех одинаковые. Продавцы разделяются на 4 уровня соответствия в зависимости от суммы транзакций за последний год. Чем меньше деньги, тем меньше ответственность.