Hacker
Professional
- Messages
- 1,044
- Reaction score
- 822
- Points
- 113
Когда вы подпадаете под действие стандарта PCI DSS, выбор правильного стандарта PCI QSA является одним из наиболее важных решений, которые вы можете принять. В конечном итоге все QSA будут оценивать вас по одному и тому же стандарту. Но наличие правильного QSA может сделать вашу жизнь намного более приятной. Давайте посмотрим, как правильный QSA может помочь вам в достижении ваших целей и как сделать правильный выбор прямо сейчас.
Что такое PCI QSA?
PCI QSA является квалифицированным специалистом по оценке безопасности. Они одобрены Советом по стандартам безопасности PCI для выполнения оценки на соответствие PCI DSS и другим стандартам.
Когда люди говорят о своем PCI QSA, они могут иметь в виду две разные вещи:
Вам нужен PCI QSA?
Не всем, кто должен соответствовать требованиям PCI DSS, на самом деле нужно заключать контракт с QSAC. Все бренды карт публикуют свои собственные требования, определяя «уровни» продавцов и поставщиков услуг. Только те организации, которые находятся на высшем уровне, действительно нуждаются в оценке PCI под руководством QSA. Для всех остальных необходимость QSA более сложна.
Если вам не требуется автоматически проходить оценку PCI под руководством QSA из-за вашего уровня, есть и другие причины, по которым вам все еще может понадобиться или вы захотите работать с QSA. Возможно, вы заключили контракт с какой-либо стороной, которая требует оценки под руководством QSA. Или, если вы имеете право сделать Анкета самооценки (SAQ), вы можете по- прежнему контракт на QSA , чтобы выполнить это от вашего имени.
Есть смысл в том, чтобы QSA выполнил ваш опросный лист:
Критерий отбора
Какие ключевые факторы следует учитывать при выборе фирмы QSA для работы? У каждого будут свои особые требования, но всегда следует учитывать следующее.
В каких регионах они зарегистрированы?
Не каждый QSA зарегистрирован для выполнения работы в каждом регионе. Для большинства людей это не проблема, потому что вы будете работать с местным QSA, у которого нет проблем с предоставлением необходимых вам услуг. Но если вы либо:
Если вы ведете более крупный бизнес на нескольких рынках, есть еще один вариант. Вместо того, чтобы выбирать одну крупную международно зарегистрированную фирму и проводить консолидированную оценку, вы можете заключить договор с несколькими местными фирмами. Вы эффективно выполняете множественные оценки PCI, идя по этому пути; имеет ли это смысл, зависит от того, насколько тесно связаны ваши бизнес-подразделения. Если все они в любом случае работают отдельно, возможно, правильным подходом будет проведение каждой отдельной оценки PCI.
Предлагают ли они дополнительные услуги PCI?
Фирмы QSA редко занимаются только оценкой PCI DSS. Часто можно встретить эти фирмы, предоставляющие как смежные услуги PCI, так и несвязанные услуги в сфере гарантий.
Что такое «смежные службы PCI»? Их также можно рассматривать как две отдельные категории:
Еще одна услуга, в которой часто нуждаются компании, работающие в сфере PCI DSS, - это тестирование на проникновение. Если у вас есть инфраструктура, подключенная к Интернету, вам, вероятно, потребуется выполнять тестирование этих активов на проникновение как ежегодно, так и после любых значительных изменений. Многие QSAC также имеют группу, которая на контрактной основе выполняет тестирование на проникновение для своих клиентов, оптимизируя этот аспект процесса.
Помимо этого, некоторые QSAC предлагают услуги управления безопасностью, от анализа журналов и управления эскалацией до услуг vCISO. С этим вам нужно быть более осторожным: если отдел одной фирмы оценит критически важную для безопасности работу другого отдела, может возникнуть конфликт интересов. Перед тем, как передать важные аспекты управления безопасностью QSAC, вы должны поговорить о том, как они справляются с этими конфликтами. В этом разговоре должны возникать такие фразы, как «китайская стена».
Могут ли они помочь вам выполнить другие нормативные требования?
QSAC часто хорошо подходят, чтобы помочь вам с вашими требованиями соответствия, помимо пространства PCI. Некоторые фирмы QSA также являются CPA и, следовательно, могут сами проводить оценки, такие как SOC2. Другие сотрудничают с фирмами CPA, что позволяет им сотрудничать в разработке подхода к оценке своих клиентов по таким структурам, как PCI DSS и AICPA.
В некоторых странах существуют очень специфические требования к управлению различными компонентами платежной системы. Хороший пример: Австралия требует, чтобы все платежные HSM соответствовали местному стандарту, установленному APCA. Если от вас требуется оценка по такому стандарту, наличие PCI QSA, который может выполнять и то, и другое, дает некоторую потенциальную экономию.
Даже если расценки на комбинированную оценку от QSAC не дешевле, чем две отдельные оценки, учтите, что при выборе этого маршрута все еще могут быть возможности для экономии. Если это будет та же команда на стороне QSAC и та же команда на вашей стороне, тогда будет меньше накладных расходов на ознакомление всех с вашим бизнесом и его операциями. Вы можете сэкономить время на своей стороне, собирая все доказательства в одной серии интервью, а не в двух отдельных. Не забывайте выходить за рамки грубых цифр при проведении анализа затрат / выгод одной фирмы для нескольких оценок.
Можете ли вы работать вместе?
Когда вы ведете переговоры с несколькими QSA-фирмами, вы всегда должны задумываться над одним вопросом: с кем я хочу работать? Чтобы получить хороший ответ на этот вопрос, лучше, если люди, с которыми вы разговариваете во время процесса продажи, также будут в вашей команде доставки после того, как вы подпишете контракт. Вы хотите иметь возможность оценить, насколько образованными и разумными будут члены вашей команды, и, откровенно говоря, насколько приятно с ними будет находиться рядом.
Для меня неспособность поговорить с человеком, который в конечном итоге будет моим ведущим QSA до заключения контракта, является красным флагом. Я собираюсь проводить с этим человеком много часов по телефону в течение года, и мне нужно иметь возможность эффективно разговаривать с этим человеком.
Если вы не можете поговорить с конкретным лицом, которое будет вашим QSA, вам доступны другие индикаторы. Каково ваше впечатление об их культуре в целом? Слушают ли они вас и разрабатывают ли индивидуальное предложение, адаптированное к специфике вашей ситуации? Или вы получаете универсальное предложение, в котором они будут беспокоиться о деталях, если вы подпишете?
Вы должны быть готовы задать несколько вопросов, на которые есть конкретные и подробные ответы. Может быть, спросите об их подходе к отбору образцов и их подходе к сбору доказательств. Как они реагируют? Находят ли они время, чтобы вдаваться в подробности вместе с вами? Возможно, попросите их рассмотреть сценарий, в котором они обнаружили что-то несовместимое в вашей среде. Как они его поднимают вместе с вами? Что они ждут от вас и какую помощь могут оказать?
Этот аспект очень похож на найм сотрудника. Они будут в вашем пространстве какое-то время и будут иметь большое влияние на то, как, вероятно, будет развиваться ваш проект. Ваша интуиция подсказывает вам, что они будут источником решений или проблем?
Сделайте должную осмотрительность
PCI DSS требует, чтобы вы проявляли должную осмотрительность в отношении любых сторон, которые могут повлиять на безопасность CHD. Начните с того, что вы хотите продолжить с формальной процедуры комплексной проверки при выборе QSA.
Как выглядит этот процесс комплексной проверки? В конечном итоге вы составите контрольный список пунктов, по которым будет оцениваться каждый кандидат. Вам необходимо понимать, какие критерии важны для любой компании, занимающей ваше положение, а также есть ли у вас какие-либо особые потребности помимо этого. Вы можете начать с пунктов, перечисленных выше в этой статье, а оттуда развить.
Как только вы почувствуете, что у вас есть вся информация, необходимая для принятия решения, напишите отчет о том, что следует делать. Сделайте это, потому что процесс написания отчета заставляет вас систематизировать свои мысли и увидеть потенциальные проблемы в ваших аргументах. Это не обязательно должен быть большой отчет, но вы должны уметь обосновать, как вы приняли такое важное решение.
Наконец, вы должны сохранить копию своего отчета и собранные вами материалы в надежном месте. Вы хотите сохранить это в течение нескольких лет после окончания контракта на случай возникновения каких-либо споров. Всегда полезно иметь возможность вернуться и напомнить, почему были приняты решения, на основе какой информации.
Что такое PCI QSA?
PCI QSA является квалифицированным специалистом по оценке безопасности. Они одобрены Советом по стандартам безопасности PCI для выполнения оценки на соответствие PCI DSS и другим стандартам.
Когда люди говорят о своем PCI QSA, они могут иметь в виду две разные вещи:
- Компания QSA («QSAC»), с которой они заключили контракт на предоставление услуг, связанных с PCI DSS; или
- Ведущий квалифицированный специалист по безопасности в своей команде по работе с клиентами.
Вам нужен PCI QSA?
Не всем, кто должен соответствовать требованиям PCI DSS, на самом деле нужно заключать контракт с QSAC. Все бренды карт публикуют свои собственные требования, определяя «уровни» продавцов и поставщиков услуг. Только те организации, которые находятся на высшем уровне, действительно нуждаются в оценке PCI под руководством QSA. Для всех остальных необходимость QSA более сложна.
Если вам не требуется автоматически проходить оценку PCI под руководством QSA из-за вашего уровня, есть и другие причины, по которым вам все еще может понадобиться или вы захотите работать с QSA. Возможно, вы заключили контракт с какой-либо стороной, которая требует оценки под руководством QSA. Или, если вы имеете право сделать Анкета самооценки (SAQ), вы можете по- прежнему контракт на QSA , чтобы выполнить это от вашего имени.
Есть смысл в том, чтобы QSA выполнил ваш опросный лист:
- доступ к специальным знаниям о том, что действительно требует стандарт;
- помощь QSA в быстром устранении любых выявленных пробелов;
- более высокая степень уверенности в результатах опроса самооценки - окончательном рабочем продукте оценки.
Критерий отбора
Какие ключевые факторы следует учитывать при выборе фирмы QSA для работы? У каждого будут свои особые требования, но всегда следует учитывать следующее.
В каких регионах они зарегистрированы?
Не каждый QSA зарегистрирован для выполнения работы в каждом регионе. Для большинства людей это не проблема, потому что вы будете работать с местным QSA, у которого нет проблем с предоставлением необходимых вам услуг. Но если вы либо:
- рассмотрение возможности использования офшорного QSA для снижения затрат; или
- иметь бизнес, работающий в более чем одной географии
Если вы ведете более крупный бизнес на нескольких рынках, есть еще один вариант. Вместо того, чтобы выбирать одну крупную международно зарегистрированную фирму и проводить консолидированную оценку, вы можете заключить договор с несколькими местными фирмами. Вы эффективно выполняете множественные оценки PCI, идя по этому пути; имеет ли это смысл, зависит от того, насколько тесно связаны ваши бизнес-подразделения. Если все они в любом случае работают отдельно, возможно, правильным подходом будет проведение каждой отдельной оценки PCI.
Предлагают ли они дополнительные услуги PCI?
Фирмы QSA редко занимаются только оценкой PCI DSS. Часто можно встретить эти фирмы, предоставляющие как смежные услуги PCI, так и несвязанные услуги в сфере гарантий.
Что такое «смежные службы PCI»? Их также можно рассматривать как две отдельные категории:
- услуги, которыми пользуются компании, подпадающие под действие стандарта PCI DSS; и
- выполнение оценок по другим стандартам, опубликованным PCI SSC.
Еще одна услуга, в которой часто нуждаются компании, работающие в сфере PCI DSS, - это тестирование на проникновение. Если у вас есть инфраструктура, подключенная к Интернету, вам, вероятно, потребуется выполнять тестирование этих активов на проникновение как ежегодно, так и после любых значительных изменений. Многие QSAC также имеют группу, которая на контрактной основе выполняет тестирование на проникновение для своих клиентов, оптимизируя этот аспект процесса.
Помимо этого, некоторые QSAC предлагают услуги управления безопасностью, от анализа журналов и управления эскалацией до услуг vCISO. С этим вам нужно быть более осторожным: если отдел одной фирмы оценит критически важную для безопасности работу другого отдела, может возникнуть конфликт интересов. Перед тем, как передать важные аспекты управления безопасностью QSAC, вы должны поговорить о том, как они справляются с этими конфликтами. В этом разговоре должны возникать такие фразы, как «китайская стена».
Могут ли они помочь вам выполнить другие нормативные требования?
QSAC часто хорошо подходят, чтобы помочь вам с вашими требованиями соответствия, помимо пространства PCI. Некоторые фирмы QSA также являются CPA и, следовательно, могут сами проводить оценки, такие как SOC2. Другие сотрудничают с фирмами CPA, что позволяет им сотрудничать в разработке подхода к оценке своих клиентов по таким структурам, как PCI DSS и AICPA.
В некоторых странах существуют очень специфические требования к управлению различными компонентами платежной системы. Хороший пример: Австралия требует, чтобы все платежные HSM соответствовали местному стандарту, установленному APCA. Если от вас требуется оценка по такому стандарту, наличие PCI QSA, который может выполнять и то, и другое, дает некоторую потенциальную экономию.
Даже если расценки на комбинированную оценку от QSAC не дешевле, чем две отдельные оценки, учтите, что при выборе этого маршрута все еще могут быть возможности для экономии. Если это будет та же команда на стороне QSAC и та же команда на вашей стороне, тогда будет меньше накладных расходов на ознакомление всех с вашим бизнесом и его операциями. Вы можете сэкономить время на своей стороне, собирая все доказательства в одной серии интервью, а не в двух отдельных. Не забывайте выходить за рамки грубых цифр при проведении анализа затрат / выгод одной фирмы для нескольких оценок.
Можете ли вы работать вместе?
Когда вы ведете переговоры с несколькими QSA-фирмами, вы всегда должны задумываться над одним вопросом: с кем я хочу работать? Чтобы получить хороший ответ на этот вопрос, лучше, если люди, с которыми вы разговариваете во время процесса продажи, также будут в вашей команде доставки после того, как вы подпишете контракт. Вы хотите иметь возможность оценить, насколько образованными и разумными будут члены вашей команды, и, откровенно говоря, насколько приятно с ними будет находиться рядом.
Для меня неспособность поговорить с человеком, который в конечном итоге будет моим ведущим QSA до заключения контракта, является красным флагом. Я собираюсь проводить с этим человеком много часов по телефону в течение года, и мне нужно иметь возможность эффективно разговаривать с этим человеком.
Если вы не можете поговорить с конкретным лицом, которое будет вашим QSA, вам доступны другие индикаторы. Каково ваше впечатление об их культуре в целом? Слушают ли они вас и разрабатывают ли индивидуальное предложение, адаптированное к специфике вашей ситуации? Или вы получаете универсальное предложение, в котором они будут беспокоиться о деталях, если вы подпишете?
Вы должны быть готовы задать несколько вопросов, на которые есть конкретные и подробные ответы. Может быть, спросите об их подходе к отбору образцов и их подходе к сбору доказательств. Как они реагируют? Находят ли они время, чтобы вдаваться в подробности вместе с вами? Возможно, попросите их рассмотреть сценарий, в котором они обнаружили что-то несовместимое в вашей среде. Как они его поднимают вместе с вами? Что они ждут от вас и какую помощь могут оказать?
Этот аспект очень похож на найм сотрудника. Они будут в вашем пространстве какое-то время и будут иметь большое влияние на то, как, вероятно, будет развиваться ваш проект. Ваша интуиция подсказывает вам, что они будут источником решений или проблем?
Сделайте должную осмотрительность
PCI DSS требует, чтобы вы проявляли должную осмотрительность в отношении любых сторон, которые могут повлиять на безопасность CHD. Начните с того, что вы хотите продолжить с формальной процедуры комплексной проверки при выборе QSA.
Как выглядит этот процесс комплексной проверки? В конечном итоге вы составите контрольный список пунктов, по которым будет оцениваться каждый кандидат. Вам необходимо понимать, какие критерии важны для любой компании, занимающей ваше положение, а также есть ли у вас какие-либо особые потребности помимо этого. Вы можете начать с пунктов, перечисленных выше в этой статье, а оттуда развить.
- Могут ли они выполнять работу по стандарту PCI DSS в вашем регионе (ах)?
- Предоставляют ли они дополнительные услуги, необходимые для соответствия стандарту PCI DSS?
- Оценивали ли они компании схожего размера и бизнеса с вашим?
- Выполняют ли они перекрестную работу, например оценку SOC 2?
- Их предложение фиксированной стоимости? Как они справляются со сползанием или перебегом прицела?
Как только вы почувствуете, что у вас есть вся информация, необходимая для принятия решения, напишите отчет о том, что следует делать. Сделайте это, потому что процесс написания отчета заставляет вас систематизировать свои мысли и увидеть потенциальные проблемы в ваших аргументах. Это не обязательно должен быть большой отчет, но вы должны уметь обосновать, как вы приняли такое важное решение.
Наконец, вы должны сохранить копию своего отчета и собранные вами материалы в надежном месте. Вы хотите сохранить это в течение нескольких лет после окончания контракта на случай возникновения каких-либо споров. Всегда полезно иметь возможность вернуться и напомнить, почему были приняты решения, на основе какой информации.
