RU
Pattern
Pattern

Безопасность

Для обеспечения безопасности GERC.UA регулярно проводит работы для соответствия требованиям международного стандарта PCI DSS. Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных при работе с платежными картами, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). Данная организация была учреждена международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.


PCI DSS определяет следующие шесть областей контроля и 12 основных требований по безопасности.

Построение и сопровождение защищённой сети

  • Требование 1: установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт.
  • Требование 2: неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

Защита данных держателей карт

  • Требование 3: обеспечение защиты данных держателей карт в ходе их хранения.
  • Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

Поддержка программы управления уязвимостями

  • Требование 5: использование и регулярное обновление антивирусного программного обеспечения.
  • Требование 6: разработка и поддержка безопасных систем и приложений.

Реализация мер по строгому контролю доступа

  • Требование 7: ограничение доступа к данным держателей карт в соответствии со служебной необходимостью.
  • Требование 8: присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре.
  • Требование 9: ограничение физического доступа к данным держателей карт.

Регулярный мониторинг и тестирование сети

  • Требование 10: контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт.
  • Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

Поддержка политики информационной безопасности

  • Требование 12: разработка, поддержка и исполнение политики информационной безопасности.

GERC.UA ежегодно проходит проверку независимой международной аудиторской компании для подтверждения сертификации PCI DSS.

Для обмена информацией с устройством пользователя GERC.UA применяет промышленный стандарт TLS-шифрования (TLS 1.2) с использованием стойкой криптографии (длина ключа 2048 бит). При этом сеансовые (разовые) ключи шифрования генерируются на основании сертификата безопасности нашего Web-сервера. Этот сертификат заверен международным сертификационным агентством Thawte Consulting.
Аудит GERC.UA подразумевает:

  • Ежегодную проверку безопасности аудиторами в офисе GERC.UA
  • Ежеквартальное сетевое сканирование своих ресурсов (система GERC.UA построена у учетом соответсвия требования КСЗИ класса А3).
  • Планомерное улучшение инструментов и методов защиты информации.