· QSA-аудит, ISA-аудит и SAQ-самооценка
· ASV-сканирование
· Тестирование на проникновение
· Уровни и правила подтверждения соответствия
Внедрение PCI DSS
· Мировой опыт внедрения PCI DSS
· Российский опыт внедрения PCI DSS
· Типовой проект по внедрению PCI DSS
· Участие разных подразделений в проекте
· Описание ключевых участников процесса
· Организация работ по внедрению PCI DSS
· Варианты аутсорсинга при внедрении PCI DSS
· Правила выбора листа самооценки SAQ
Область применимости PCI DSS
· Определение области применимости PCI DSS
· Эквайринг платежных карт и типовые потоки данных
· Потоки данных с точки зрения банка
· Потоки данных с точки зрения платежного шлюза
· Потоки данных с точки зрения интернет-магазина
· Потоки данных с точки зрения розничного магазина
· Смежные информационные системы
Уменьшение области применимости PCI DSS
· Оптимизация потоков данных о держателях карт
· Минимизация мест хранения данных о держателях карт
· Сегментация вычислительной сети
· Применение токенизации
· Снижение зависимости от смежных систем
Выполнение требований PCI DSS
· Ограничение хранения данных о держателях карт
· Защита сетевой инфраструктуры
· Защита приложений, баз данных и серверов
· Мониторинг и контроль доступа к данным
· Защита хранимых данных о держателях карт
· Система менеджмента информационной безопасности
· Обоснование и выбор компенсационных мер
Сертификационный QSA-аудит
· Процедура сертификационного аудита
· Взаимодействие с аудитором
Итоговая аттестация