Audyt PCI P2PE

PCI P2PE (point-to-point encryption) to standard bezpieczeństwa, który wymaga natychmiastowego zaszyfrowania informacji o karcie kredytowej po pierwszym przesunięciu/włożeniu w terminalu płatniczym, a następnie bezpiecznym przesłaniu ich bezpośrednio do procesora płatności, zanim będzie można je odszyfrować i przetworzyć. Technologia Point-to-Point Encryption (P2PE) sprawia, że dane są nieczytelne, więc nie mają wartości dla przestępców, nawet jeśli zostaną skradzione w wyniku włamania.

Rozwiązanie szyfrowania typu P2PE obejmuje sprawdzony sprzęt, oprogramowanie oraz środowisko i procesy dostawcy rozwiązań. Może również obejmować zwalidowane usługi dostawcy komponentów. Wszystkie zatwierdzone przez PCI rozwiązania, aplikacje i komponenty są wymienione na stronie internetowej PCI SSC. Walidacja jest przeprowadzana przez wykwalifikowanego przez PCI asesora P2PE.

SC2labs jest akredytowane przez  PCI SSC do przeprowadzania walidacji w zakresie

  PCI QSA (P2PE) oraz  PA-QSA (P2PE)

Spotkanie otwierające
Po podpisaniu Umowy współpracę rozpoczynamy spotkaniem otwierającym. Omówimy proces certyfikacji, określimy osoby  kontaktowe z obydwu organizacji, zdefiniujemy ramy czasowe projektu i zaplanujemy kolejne kroki. Audytor przekaże również specjalnie przygotowane materiały, które pomogę zespołowi projektowemu odpowiednio przygotować się do audytu.

Faza przygotowawcza 
W tym etapie proponujemy indywidualne podejście uzależnione od Państwa potrzeb, które  może obejmować:
- P2PE szkolenie/workshop  - nasi dedykowani do projektu audytorzy P2PE przeprowadzą szkolenie i wyjaśnią wszystkie wymagania standardu P2PE, co prowadzi do lepszego zrozumienia procesu i właściwego przygotowania do walidacji formalnej
- analiza zakresu/ P2PE scoping – jeden z kluczowych  elementów procesu, który pomoże zminimalizować i określić dokładny zakres audytu
-  Ocena wstępna (Pre-assessment) lub pełny GAP Assessment. Podczas oceny wstępnej audytor ogólnie przygląda się środowisku i przegląda dokumentację w celu zidentyfikowania ewentualnych braków. Analiza GAP jest bardziej szczegółowym procesem, w którym przeprowadzamy ocenę aktualnej sytuacji w kontrolach bezpieczeństwa, systemach, dokumentacji i środowisku w odniesieniu do wszystkich wymogów zgodności z PCI P2PE. Podsumowanie GAP zawiera wszelkie zidentyfikowane rozbieżności oraz niezbędne zalecenia dotyczące działań
- Wsparcie podczas procesu wdrażania zmian - zapewnieniamy wsparcie i doradzamy w trakcie naprawy i  implementowania koniecznych poprawek i zmian

Formalna walidacja 
Audyt on-site jest formalnym procesem,w którym akredytowany audytor przeprowadza formalną ocenę wszystkich domen i kontroli P2PE, w tym przegląd urządzenia Point of Interaction (POI), jego zarządzania,   środowisko szyfrowania/deszyfrowania, aplikacje stron trzecich, zarządzania backupem, zarządzania kluczami, zgodności z PCI DSS, przepływy danych kartowych, dokumentacji rozwiązania etc.  Audytor sprawdzi:

• Encryption Device Management
• Application Security
• Encryption Environment
• Segmentation between Encryption and Decryption Environment
• Decryption Environment and Device Management
• P2PE Cryptographic Key Operations
• P2PE Instruction manual and guidance
• Testing and gathering is the core of the compliance engagement. The results of the on-site assessment are documented.

Opracowanie dokumentacji 
Formalna dokumentacja - w tym Raport zostanie przekazana w terminie do 3 tygodni od momentu  zakończenia projektu (otrzymania  przez audytora wszystkich wymaganych danych/dokumentów/informacji). Podczas tej fazy projektu powinien również zostać podpisany Vendor Agreement pomiędzy Państwa organizacją a Radą Standardu PCI SSC, jak również należy uiścić opłatę wpisową zgodnie z wystawioną bezpośrednio przez PCI fakturą. Następnie, zgodnie z procedurami  raport jest wysyłany do Rady Standardu. Po pozytywnym zatwierdzeniu dokumentacji odpowiedni wpis o Państwa certyfikacji zostanie zamieszczony na stronie internetowej PCI SSC.

Dokumentacja obejmuje: