PCI SSS

Certyfikaty PCI

PCI Secure Software Standard (SSS) to kluczowy element ramowego standardu PCI SSF (Secure Software Framework), opracowanego przez PCI Security Standards Council (PCI SSC). Standard ten wyznacza szczegółowe wymagania bezpieczeństwa dla oprogramowania, które obsługuje dane płatnicze, takie jak aplikacje przetwarzające, przechowujące lub przesyłające dane kartowe.

PCI software security ma szczególne znaczenie dla producentów oprogramowania.

PCI Software Security,audyt PCI SSF,zgodność z PCI SSF,certyfikacja PCI SSF,PA-DSS
Pomaga im zagwarantować klientom najwyższy poziom ochrony danych płatniczych i osiągnąć pełną zgodność z wymaganiami PCI SSF, co jest istotne dla współpracy z organizacjami kartowymi, takimi jak Visa czy Mastercard. Dodatkowo certyfikacja PCI SSS pozwala na zwiększenie konkurencyjności produktów oraz zaufania klientów. Jest również kluczowa w przypadku sprzedaży oprogramowania firmom trzecim, które wymagają zgodności z rygorystycznymi wymogami bezpieczeństwa. Certyfikacja znacząco ułatwia procesy certyfikacyjne użytkownikom końcowym, takim jak akceptanci czy integratorzy.

Jak możemy Ci pomóc?

Jeśli planujesz stworzenie, rozwój lub certyfikację oprogramowania związanego z obsługą danych płatniczych, zespół PatronusSec, posiadający akredytację Secure Software Assessor (SSA), pomoże Ci osiągnąć pełną zgodność z wymaganiami PCI software security i PCI SSF. Przeanalizujemy Twoje założenia projektowe, aby upewnić się, że spełniają one wymagania PCI Secure Software Standard.

Wspieramy również w przygotowaniu oprogramowania do certyfikacji PCI SSS, oferując konsultacje i szczegółową analizę, które pozwolą wyeliminować potencjalne problemy. Nasze usługi obejmują także przeprowadzanie certyfikujących audytów PCI SSF, które umożliwiają uzyskanie oficjalnej certyfikacji. Dodatkowo pomagamy zwiększyć bezpieczeństwo i zaufanie klientów, wdrażając najlepsze praktyki ochrony danych płatniczych, co ułatwia również spełnienie innych standardów, takich jak PCI DSS.

Jak będziemy z Tobą pracować?

Etap 1

Analiza
luk

Opcjonalny, ale niezwykle pomocny etap, szczególnie dla nowych klientów. Przeprowadzimy symulację audytu certyfikacyjnego, wskażemy niezgodności i obszary wymagające poprawy, a także zaproponujemy najlepsze rozwiązania dla Twojego oprogramowania.

Etap 2

Konsultacje

Podczas procesu certyfikacji będziesz mieć wiele pytań i wątpliwości. Jako Twój zaufany partner, odpowiemy na wszystkie pytania, pomożemy rozwiązać problemy i przeprowadzimy Cię przez cały proces krok po kroku.

Etap 3

Audyt
certyfikujący

Nasz audyt może odbywać się w formie zdalnej, na miejscu lub w formule hybrydowej. Po zakończeniu audytu otrzymasz listę dokumentów i dowodów wymaganych do zakończenia procesu.

Etap 4

Poprawki i
zbieranie dowodów

Na poprawienie niezgodności i dostarczenie wymaganych dowodów masz do 90 dni. Im szybciej dostarczysz wymagane informacje, tym szybciej my zakończymy proces audytowy.

Etap 5

Raportowanie

Przygotujemy szczegółowy raport zgodności, zawierający opis Twojego środowiska oraz wyniki audytu. Dokument ten będzie zgodny z wymaganiami PCI SSC i gotowy do przesłania do oceny przez ich zespół.

Etap 6

Wysyłanie dokumentów
do PCI SSC

To już jest prawie koniec z naszej strony... Rozwiązanie SSA jest listowane na stronie PCI SSC i podlega przeglądowi i ocenie zespołu AQM (Assessor Quality Management). Zespół ten przegląda naszą prace i dalej zatwierdza rozwiązanie lub zwraca rozwiazanei do nas w przypadku pytań. Proces ten trwa zwykle do 3 miesięcy i jest całkowicie niezależny od nas. Na początku tego etapu generowana jest faktura z PCI SSC - jej terminowa płatność jest kluczowa, gdyż płatność do PCI SSC pozwoli rozpocząć cały proces.

Etap 7

Zakończenie

Ten krok lubimy najbardziej. W momencie zatwierdzenia rozwiązania otrzymasz podpisany przez PCI SSC dokument AOV i jeden lub dwa dni później rozwiązanie pojawia się na stronie PCI SSC. To jest koniec całego procesu - kilka dni później otrzymasz od nas certyfikat marketingowy potwierdzający zakończenie całego procesu.

Audyt certyfikujący

Audyt certyfikujący to połączenie działań on site oraz zdalnych mających na celu potwierdzenie zgodności Klienta ze standardem PCI SSF. Audyt składa się z 6 kluczowych elementów

1.

Wywiady z personelem Rozmowy z kluczowymi członkami zespołu, aby lepiej zrozumieć Twoją organizację, zakres obowiązków i metody zarządzania środowiskiem kartowym.

2.

Przegląd konfiguracji Weryfikacja konfiguracji systemów, urządzeń oraz innych elementów, takich jak systemy kontroli dostępu czy alarmowe, aby potwierdzić ich zgodność z PCI SSF.

3.

Przegląd procesów zarządzania Analiza procedur zarządzania środowiskiem, takich jak raportowanie zmian, przeglądy logów czy procesy patchowania.

4.

Przegląd dokumentacji Sprawdzenie dokumentacji opisującej środowisko kartowe, w tym diagramów sieciowych, polityk oraz procedur. Dokumenty muszą być aktualne (ostatni przegląd nie starszy niż 12 miesięcy).

5.

Obserwacje procesów Bezpośrednie obserwacje krytycznych procesów, takich jak generowanie kluczy, dystrybucja kluczy, wgrywanie aplikacji na terminale czy wizyty w Secure Room.

6.

Testowanie oprogramowania Oprogramowanie, które będziemy oceniali musi przejść przez nasze testy. Nie są to formalne testy penetracyjne, ale będziemy testować jak zachowuje się twoje oprogramowanie w sytuacjach skrajnych. Dodatkowo będziemy sprawdzali czy oprogramowanie zachowuje się zgodnie z założeniami (np czy nie przechowuje danych kartowych w plikach tymczasowych) .

Po audycie dostarczymy dokumentację zawierającą wszystkie obserwacje i wymagania w formie trackera. Gdy spełnisz wymagania zawarte w trackerze, przygotujemy raport końcowy, który zostanie przesłany do PCI SSC.

Nie kupuj kota w worku -
umów się na bezpłatną konsultację i sprawdź, jak możemy Ci pomóc

Bezpłatna konsultacja
Formularz kontaktowy
PCI Software Security,audyt PCI SSF,zgodność z PCI SSF,certyfikacja PCI SSF,PA-DSS

Skorzystaj z formularza kontaktowego lub skontaktuj się z nami bezpośrednio.

Patronusec Sp z o. o.

Biuro:
ul. Święty Marcin 29/8
61-806 Poznań, Polska

KRS: 0001039087
REGON: 525433988
NIP: 7831881739
D-U-N-S: 989454390
LEI: 259400NAR8ZOX1O66C64