My Integralis

PCI QSA Audit (granskning)

Om en organisation hanterar eller ser kreditkortsinformation eller information om kortinnehavaren, antingen direkt eller som en serviceleverantör till ett annat företag måste organisationen uppfylla de krav som PCI-standarden kräver. Som IT-chef med ansvar för efterlevnaden mot PCI-standarden hanterar du inte bara risker som rör ekonomiskt ansvar i form av böter eller bedrägerier som utförts mot dina system, utan också i allt större utsträckning lagstadgade krav. I USA och andra delar av världen kommer PCI-standarden att utvecklas från att ha varit branschstandard till att bli krav från myndigheter.

Beroende på företagets roll i hantering av kortdata och antalet transaktioner som kunden utför varje år kan företaget omfattas av krav på självutvärdering eller utvärdering som ska göras av en PCI-säkerhetsinspektör med särskild behörighet (QSA-Qualified Security Auditor). PCI-standarden kräver även att en person med chefsbehörighet på företaget skriver under alla utvärderingsdokument och resultat som beskriver ansvarsskyldighet och förpliktelser som ingår i processen. PCI granskningen utförs därför alltid i samarbete med denna person.

Integralis har omfattande erfarenhet inom PCI-granskning och efterlevnad mot standarden. Vi är certifierade av PCI under QSA-programmet och erbjuder kvartalsvis kontinuerliga ackrediterade kontroller av enligt PCI-kraven PCI samt kvartalsvis PCI-granskningstjänster. Integralis utför PCI-utvärderingar och kan hjälpa kunden med kontinuerliga självutvärderingsprogram.

PCI-granskningar är komplicerade och kräver mycket kunskap om standard och teknik för kostnadseffektiv maximering av resultatet.  Komplexiteten i granskningen kräver detaljerad förståelse av både arkitektur och driftshandhavande av många infrastrukturkomponenter. Integralis erfarenhet möjliggör effektivt användande av resurser för att uppfylla PCI-kraven.

Integralis har formell QSA-status (Qualified Security Auditor), och erbjuder verifierad erfarenhet vid granskning av både teknik och rutiner. Vi har hjälpt många av våra kunder att uppfylla sina PCI-krav, med tjänster som innefattar gapanalys före granskningen, definition av granskningens omfattning, samt utförande av den övergripande utvärderingen och medföljande åtgärder.

Integralis rutiner för QSA-granskning omfattar samtliga PCI-krav:

  • Att designa, implementera och förvalta ett säkert nätverk
  • Identifiering av känsliga data om kortinnehavare i hela infrastrukturen
  • Att skydda data om kortinnehavare
  • Identifiering av känsliga data om kortinnehavare i hela infrastrukturen
  • Tillvägagångssätt för att hantera befintliga system som innehåller data om kortinnehavare
  • Upprätthålla en effektivt process för hantering av säkerhetsluckor
  • Implementera effektiva metoder för åtkomstkontroll
  • Regelbunden övervakning och regelbundna tester av nätverk
  • Upprätthålla en policy som hanterar kraven på informationssäkerhet

Efter PCI QSA-granskningen kommer våra säkerhetsexperter att leverera en omfattande rapport som beskriver status för det granskade nätverket utifrån gällande riktlinjer från PCI-standarden. Vi kan också hjälpa till att designa lösningar och implementera de åtgärder som innefattas av rapporten. Vi samarbetar sedan med dig för att skicka in resultaten till berörd bank eller till kortföretaget för godkännande.

PCI QSA-granskning krävs för serviceleverantörer på nivå 1 och nivå 2, och för de flesta grossister på nivå 1. Eftersom definitionen på dessa nivåer varierar kan vi också hjälpa till med att fastställa vilken nivå som gäller för verksamheten som en del av uppdraget.  Att uppfylla kraven på i PCI-standarden är avgörande eftersom kortföretagen (Visa, MasterCard, American Express, etc.) kan utfärda straffavgifter på återförsäljare eller serviceleverantörer som inte uppfyller dessa.