PCI P2PE

Certyfikacje PCI

PCI P2PE (Payment Card Industry Point to Point Encryption) to standard bezpieczeństwa opracowany przez PCI Security Standards Council (PCI SSC), który określa wymagania techniczne i proceduralne dla dostawców rozwiązań lub komponentów rozwiązań P2PE.

Rozwiązanie P2PE składa się z terminala płatniczego zainstalowanego w lokalizacji akceptanta, aplikacji płatniczej na tym terminalu oraz środowiska deszyfrowania danych kartowych

PCI P2PE,audyt PCI P2PE,zgodność z PCI P2PE,certyfikacja PCI P2PE,rozwiązanie P2PE
Wymogiem formalnym dla każdego rozwiązania P2PE jest stosowanie rozwiązań kryptograficznych (HSM) zgodnych ze standardem PCI PTS HSM lub FIPS 140-2 poziom 3 lub wyższy. Wdrożenie rozwiązania P2PE znacznie ogranicza zakres certyfikacji PCI DSS dla akceptanta, jednak nie zwalnia go z obowiązku spełnienia wymagań PCI DSS.

Jak możemy Ci pomóc?

Jeśli planujesz rozwiązanie, komponent lub aplikację P2PE, możemy pomóc w weryfikacji Twoich założeń, zaproponować odpowiednie rozwiązania, skonsultować i wyjaśnić zapisy standardu.

Posiadamy akredytację P2PE QSA (Qualified Security Assessor) i PA P2PE QSA, co pozwala nam przeprowadzać audyty certyfikujące zgodność z PCI P2PE zarówno dla rozwiązania, komponentu, jak i aplikacji.

Jak będziemy z Tobą pracować?

Etap 1

Ustalenie rozwiązania
lub komponentu

Każda certyfikacja PCI P2PE rozpoczyna się od ustalenia zakresu rozwiązania. Minimum będzie to lista urządzeń PCI POI, aplikacji płatniczych, środowiska deszyfrowania, lokalizacji urządzeń HSM oraz procesów zarządzania kluczami kryptograficznymi.

Etap 2

Analiza
luk

Ten krok jest opcjonalny i najlepiej sprawdza się przy nowych klientach, którzy nie są pewni, czy są gotowi na audyt certyfikujący. Podczas analizy luk zasymulujemy, jak będzie wyglądał audyt certyfikujący, wskażemy niezgodności oraz obszary do poprawy. Pomogą Ci również nasze sugestie rozwiązań.

Etap 3

Konsulting

Poprowadzimy Cię przez cały proces certyfikacji. Będziesz miał wiele pytań i wątpliwości, a doświadczenie pokazuje, że lepiej jest zapytać doświadczonego partnera niż szukać odpowiedzi na własną rękę.

Etap 4

Audyt
certyfikujący

Audyt może być przeprowadzony zdalnie, na miejscu lub w formie hybrydowej. O dokładnym przebiegu audytu przeczytasz poniżej. Do dwóch tygodni po zakończeniu audytu otrzymasz od nas listę wymaganych dokumentów i dowodów, które będziesz musiał dostarczyć (dokument nazywamy trackerem).

Etap 5

Poprawki i
zbieranie dowodów

Masz do 90 dni na dostarczenie dowodów audytowych lub wdrożenie poprawek po uzyskanych obserwacjach. Im szybciej dostarczysz nam dowody, tym szybciej otrzymasz od nas dokumenty audytowe.

Etap 6

Raportowanie

Na podstawie dostarczonych dowodów i dokumentów przygotujemy raport zgodności. Raport to bardzo szczegółowy dokument, zawierający ponad 200 stron opisu Twojego środowiska kartowego, przygotowywany dla każdej domeny standardu. Dodatkowo przeprowadzimy proces QA przed wydaniem raportu klientowi. Cały proces trwa średnio do miesiąca. Na końcu otrzymasz od nas dokument Atestacji (AOV) do podpisu.

Etap 7

Wysłanie dokumentów
do PCI SSC

Na tym etapie rozwiązanie zostanie wpisane na stronę PCI SSC i poddane przeglądowi przez zespół AQM (Assessor Quality Management). Zespół ten przegląda naszą pracę i zatwierdza rozwiązanie lub zwraca je do nas w przypadku pytań. Proces ten trwa zazwyczaj do 3 miesięcy i jest niezależny od nas. Płatność do PCI SSC jest kluczowa na tym etapie, ponieważ umożliwia rozpoczęcie całego procesu.

Etap 8

Zakończenie

To etap, który lubimy najbardziej. Po zatwierdzeniu rozwiązania otrzymasz podpisany przez PCI SSC dokument AOV (Approval of Validation). Rozwiązanie pojawi się na stronie PCI SSC w ciągu kilku dni, a później otrzymasz od nas certyfikat marketingowy potwierdzający zakończenie procesu.

Audyt certyfikujący

Audyt certyfikujący to połączenie działań on-site oraz zdalnych, mających na celu potwierdzenie zgodności z wymaganiami standardu PCI P2PE. Audyt składa się z 5 kluczowych elementów:

1.

Wywiady z personelem Przed audytem otrzymasz od nas agendę z tematami, o których będziemy rozmawiać z Twoim personelem lub dostawcami. Celem rozmowy jest lepsze poznanie Twojej organizacji, zakresu obowiązków oraz metod pracy i zarządzania środowiskiem kartowym.

2.

Przegląd konfiguracji Kolejnym krokiem jest weryfikacja konfiguracji Twojego środowiska. Poprosimy pracowników, aby pokazali konfigurację systemów, urządzeń, narzędzi i innych elementów, takich jak systemy kontroli dostępu czy alarmowe. Podczas przeglądu często będziemy prosili o zebranie dowodów audytowych.

3.

Przegląd procesów zarządzania Zajmiemy się również przeglądem procesów, którymi zarządzasz swoim środowiskiem kartowym. Poprosimy o dokumentację, np. raporty zmian, dowody przeglądów logów, dowody przeprowadzonych sesji patchowania itd.

4.

Przegląd dokumentacji Ten krok najczęściej realizujemy zdalnie. Poprosimy Cię o listę dokumentów opisujących Twoje środowisko kartowe, diagramy sieciowe, polityki i procedury. Pamiętaj, że dokumenty muszą być aktualne (tj. data ostatniego przeglądu nie może być starsza niż 12 miesięcy).

5.

Obserwacje i testowanie Niektóre procesy związane z zarządzaniem zgodnością musimy zobaczyć na własne oczy. Będziemy obserwować procesy, takie jak generowanie i dystrybucja kluczy, ładowanie kluczy na terminale, rejestracja aplikacji płatniczych, wizyta w Secure Room itd. Musimy zasymulować procesy, zweryfikować je i potwierdzić ich zgodność z wymaganiami standardu.

Po audycie dostarczymy Ci dokument, który nazywamy trackerem. Zawiera on wszystkie nasze obserwacje, dokumenty i dowody. Po dostarczeniu tych wszystkich elementów zaczniemy przygotowywać raport.

Nie kupuj kota w worku -
umów się na bezpłatną konsultację i sprawdź, jak możemy Ci pomóc

Bezpłatna konsultacja
Formularz kontaktowy
PCI P2PE,audyt PCI P2PE,zgodność z PCI P2PE,certyfikacja PCI P2PE,rozwiązanie P2PE

Skorzystaj z formularza kontaktowego lub skontaktuj się z nami bezpośrednio.

Patronusec Sp z o. o.

Biuro:
ul. Święty Marcin 29/8
61-806 Poznań, Polska

KRS: 0001039087
REGON: 525433988
NIP: 7831881739
D-U-N-S: 989454390
LEI: 259400NAR8ZOX1O66C64