вторник, 24 апреля 2012 г.

PCI DSS обучение в АИС

11-12 марта прошел семинар "Управление соответствием требованиям PCI DSS" в АИС.
Семинар получился, наверное, максимально полезным для участников рынка платежных карт, с учетом того, что выступающий QSA-аудитор не мог дать сомнительных советов.
Например, он не рассказал как можно попытаться уйти от требований стандарта - использовать 2+ еквайеров (снизить обьем по каждому в отдельности), делить на юридические лица с разделенной МЭ сетевой инфраструктурой и т.п.

Остальные аспекты - наполнение, подача, рассказы о практических случаях, раздаточный материал (есть на сайте) и питание варьировались по качеству от хорошего до очень хорошего. Семинар был полезен не только с точки зрения ликбеза по вопросам соответствия PCI DSS (организационных и технических аспектов), понимания безопасности ИТ-инфраструктуры и данных но и с точки зрения понимания распределения ответственности в индустрии платежных карт (что и позволило прикинуть как можно попытаться уйти из под стандарта или его части).

P.S. В целом, после прочтения заметки могло сложиться мнение, что Deiteriy хороший выбор для QSA-аудита - это не совсем так, из моей практики общений с QSA (специалистами) у них обычно хороший уровень как в организационных так и в технических вопросах безопасности. Так что уровень профессионализма здесь - нормальный, и единственное, что я вынес из семинара относительно QSA-аудиторов - многая знания многие печали если Ваш QSA рассказывает о утечках из-за ПЭМИН (реальный пример из форума pcidss.ru) - наймите другого, скорее всего он будет более бизнес-ориентирован и сконцентрируется на современных угрозах в своем аудите.

UPD (24/04/2012) - сайт и форум pcidss.ru идентифицируют себя как принадлежащие другой компании (не Deiteriy, компании-организатора данного семинара). У меня нет информации о каком-либо отношении компании Deiteriy к данному сайту

Комментариев нет:

Отправить комментарий