UA
Pattern
Pattern

Безпека

Для забезпечення безпеки GERC.UA регулярно проводить роботи для відповідності вимогам міжнародного стандарту PCI DSS. Payment Card Industry Data Security Standard (PCI DSS) - стандарт безпеки даних при роботі з платіжними картами, розроблений Радою зі стандартів безпеки індустрії платіжних карт (Payment Card Industry Security Standards Council, PCI SSC). Дана організація була заснована міжнародними платіжними системами Visa, MasterCard, American Express, JCB та Discover.

PCI DSS визначає наступні шість галузей контролю і 12 основних вимог з безпеки.

Побудова і супровід захищеної мережі

  • Вимога 1: установка та забезпечення функціонування міжмережевих екранів для захисту даних власників карток.
  • Вимога 2: невикористання виставлених за замовчуванням виробниками системних паролів та інших параметрів безпеки.

Захист даних власників карток

  • Вимога 3: забезпечення захисту даних власників карток в ході їх зберігання.
  • Вимога 4: забезпечення шифрування даних власників карток при їх передачі через загальнодоступні мережі..

Підтримка програми управління вразливостями

  • Вимога 5: використання і регулярне оновлення антивірусного програмного забезпечення.
  • Вимога 6: розробка та підтримка безпечних систем і додатків.

Реалізація заходів по строгому контролю доступу

  • Вимога 7: обмеження доступу до даних власників карток відповідно зі службовою необхідністю.
  • Вимога 8: присвоєння унікального ідентифікатора кожної особі, яка має доступ до інформаційної інфраструктури.
  • Вимога 9: обмеження фізичного доступу до даних власників карток.

Регулярний моніторинг і тестування мережі

  • Вимога 10: контроль та відстеження всіх сеансів доступу до мережевих ресурсів і даних власників карток.
  • Вимога 11: регулярне тестування систем і процесів забезпечення безпеки.

Підтримка політики інформаційної безпеки

  • Вимога 12: розробка, підтримка та виконання політики інформаційної безпеки.

GERC.UA щорічно проходить перевірку незалежної міжнародної аудиторської компанії для підтвердження сертифікації PCI DSS.

Для обміну інформацією з пристроєм користувача GERC.UA застосовує промисловий стандарт TLS-шифрування (TLS 1.2) з використанням стійкої криптографії (довжина ключа 2048 біт). При цьому сеансу (разові) ключі шифрування генеруються на підставі сертифікату безпеки нашого Web-серверу. Цей сертифікат завірений міжнародним сертифікаційним агентством Thawte Consulting.
Аудит GERC.UA має на увазі:

  • щорічну перевірку безпеки аудиторами в офісі GERC.UA;
  • щоквартальне мережеве сканування своїх ресурсів (система GERC.UA побудована з урахуванням відповідності вимоги КСЗІ класу А3);
  • планомірне поліпшення інструментів і методів захисту інформації.