GAP-анализ

Цель: Выявление всех несоответствий требованиям PCI DSS, получение данных для подготовки плана мероприятий по доведению организации до соответствия требованиям стандарта.

Анализ несоответствий требованиям стандарта дает Заказчику понимание того, где находится организация относительно требований PCI DSS. Этот этап, его еще называют предаудитом, является обязательным в случае прохождения сертификационного аудита, выполняемого QSA- компанией.

Однако выполнение GAP-анализа требованиям PCI DSS может оказаться полезным и целесообразным и в случае, когда в данный момент от организации не требуется подтверждение соответствия путем сертификационного QSA-аудита.

Если в организации планируется значительное увеличение объема операций по картам или существенная модернизация инфраструктуры, то результаты GAP-анализа помогут сэкономить значительные средства, т.к. позволят организации увязать проекты развития инфраструктур ИТ и ИБ, обеспечить защиту данных оптимальным образом, избежать лишних затрат на встраивание механизмов безопасности в уже функционирующие критичные системы и сервисы. И, безусловно, предварительно выполненный GAP-анализ, позволяет лучше подготовиться к процессу прохождения сертификационного аудита в будущем.

Услуга включает:

  • Уточнение предварительно определенных границ области оценки среды данных платежных карт, определение потоков данных, используемой технологии обработки и хранения данных,
  • Анализ возможных изменений с целью уменьшения границ области оценки,
  • Анализ несоответствий требованиям PCI DSS по всем требованиям, применимым к организации, по каждому из 12 разделов стандарта,
  • Выведение общей оценки,
  • Выработку рекомендаций.

Услуга GAP-анализа оказывается удаленно, без выезда на территорию Заказчика. Результатом является отчет о выявленных несоответствиях по всем требованиям стандарта, применимым к организации, который является стартовой точкой для дальнейших проектов по приведению организации в соответствия с требованиями PCI DSS.