Прошло уже около года с того времени как я обещал написать
данную статью. Так получилось, что за то время много чего изменилось. Я сделал
выбор заниматься консалтингом по вопросам информационной безопасности, и в
частности подготовки компаний к прохождению аудита PCI DSS, VISA и MASTERCARD, не будучи наемным
сотрудником. Уехал из Москвы, как города, который не подходит мне для жизни,
хотя изобилует предложениями о работе и хорошими зарплатами, но все же выбрав
Киев. Тут я вырос и мне нравится этот город. А зиму, как и планировал, стараюсь
проводить на островах в Азии.
Вторым направлением, которым я стал заниматься, стало то,
что давно было моим хобби и давало мне самые приятные эмоции. Сейчас кроме
консалтинга по безопасности я читаю тренинги по личной эффективности, и
предоставляю услуги коучинга, а если
простыми словами, то помогаю людям достигать их целей. Приятно общаться с
людьми, которые интересны сами по себе, развиваются и стремятся к достижению
своих целей, зачастую именно такие задаются вопросами эффективности и коучинга.
Вдвойне приятно когда получается быть полезным таким людям.
Я давно ничего существенного не писал в блоге, по этой
причине прошу мне простить 2 абзаца сверху, имеющие косвенное отношение к теме
статьи. С чего-то нужно начинать.
Данная статья посвящена аудитам платежных систем VISA и
MASTERCARD. В статье будут
поставлены акценты на отличия от PCI DSS. Так же будет рассмотрены этапы подготовки и прохождения
аудита. По возможности рассмотрены отличия между аудитами VISA и MASTERCARD. Будут даны
рекомендации, на какие из вопросов обратить внимание, на каком этапе и каких
аудиторов привлекать и чего от них требовать. Даны рекомендации как построить
процесс подготовки и прохождения аудита.
В данной статье прохождение аудитов будет рассмотрено на
примере процессинговой компании.
Как и для PCI DSS при прохождении аудитов все начинается с ознакомления с
требованиями для их прохождения. Данные аудиты являются ежегодными и могут
проводиться компаниями из утвержденного списка. Список «утвержденных» компаний
и необходимую документацию по подготовке к аудиту можно получить, например, у вашего
куратора от VISA или MASTERCARD или напрямую через ваше контактное лицо в этой компании.
После получения материалов с требованиям стоит оценить, на
сколько вы соответствуете хотя бы в первом приближении. Для меня в первый раз
было не очень приятной неожиданностью, что требования стандартов безопасности VISA и
MASTERCARD только частично сходятся с требованиями PCI DSS. А много где выходят за
рамки упомянутого стандарта. Особенно в части проверки систем физической
безопасности, вплоть до ламп внешнего освещения.
Самым лучшим вариантом будет провести пред аудит
самостоятельно и определить, что у вас работает, а что необходимо создать или
доработать. То же самое касается не только систем, но и процессов, документов и
обучения персонала.
В идеале если вам необходимо проходить ежегодно три аудита: VISA, MASTERCARD и PCI DSS, то лучше составить
единую матрицу проверок, соответствий и периодических процедур.
Таким образом,
что бы в точках пересечения требования выполнялись и контролировались по самому
жесткому критерию из данных трех стандартов.
Так же если какой то из аудитов вы проходите первый раз, то
есть смысл не разрабатывать отдельные документы и класть на соседнюю полочку, а
требования стандарта вписывать в уже имеющиеся регуляторные документы. Таким
образом с меньшим количеством документов несколько проще добиться их
соблюдения.
Что касается устранения несоответствий по результатам
внутреннего аудита, то тут нет отличий от устранения несоответствий любому
другому стандарту. Только с учетом того нюанса, что стандарты узко специализированы и по этой
причине могут возникнуть разногласия в толковании требований у вас, аудиторов и
представителя платежной системы.
К тому времени когда данные вопросы станут актуальными стоит
как раз и привлекать аудиторов, а заодно и проверить их компетентность, на
этапе подписания договоренностей направляя им свои вопросы. Но тут все не так
просто. На моей памяти я работал с несколькими аудиторскими компаниями, самой
именитой из которых была компания первой аудиторской четверки – PriceWaterHouse Coupers из Гонконга. И вся ирония в том, что аудиторы рассказывают
требование так, как они его себе видят или понимают исходя из опыта, и с этой
позиции дают рекомендации. А, например, представитель VISA видит или
понимает то же требование иначе. И
выдвигает требование сделать иначе. При том в лучшем случае говорит, что и как
переделать, а в худшем просто говорит, что оно не выполнено. И крутись, как
хочешь.
В этой ситуации, когда сначала делаешь соответствие
требованиям на основе самостоятельно проведенного внутреннего аудита, потом
удовлетворяешь рекомендации аудиторов исходя из их понимания, и напоследок еще
исправляешь то, что не принимает представитель VISA, так как у него свой взгляд, то
мягко говоря не испытываешь от этого вдохновения. При том, что зачастую ваша
компания в одной стране, аудиторы из другой, а представители платежной системы
в третьей. Все это сказывается на скорости работы и на взаимопонимании,
особенно если используются несколько языков в переписке.
Как же избежать такой ситуации?
Полностью избежать ее не получится. Но можно принять меры по
ее упрощению.
1.
Разберитесь с требованиями стандарта, настолько
детально, насколько получиться. Если есть коллеги с опытом прохождения данного
аудита, всегда используйте возможность проконсультироваться по трактовке
стандарта, если она вызывает у вас хоть какие-то сомнения.
2.
Привлекайте консультанта на тапе подготовки к
аудиту. Лучше, что бы данный консультант имел отношение не просто к аудитам в
сфере информационной безопасности, а специализировался на нужном вам вопросе.
Имел опыт аналогичных проектов. Желательно что бы вы с ним говорили на одном
языке.
3.
Привлекая аудиторов, понимайте, зачем они вам,
кроме того, что они просто есть в списке аккредитованных платежной системой.
Что реально полезного они могут вам дать за уплаченные им деньги? Какой у них
опыт, какие компетенции именно у того аудитора, который будет проводить аудит у
вас в компании? Сколь просто вам с ним общаться, сколь охотно и понятно он
отвечает на заданные вами вопросы? В каких компаниях данный аудитор проводил аудит?
Довольны ли эти компании его услугами?
4.
Начинайте процесс подготовки к сертификации
заранее, так как, не смотря на возможность предоставления к намеченной дате
соответствия плана устранения, а не полного соответствия это дает отсрочку
всего на 40 дней. Что для устранения большого количества несоответствий мало. И
не всегда получается этот срок продлить.
5.
Старайтесь получить пользу от требования
прохождения аудита для вашей компании. Например, замену аппаратных и
программных систем, внедрения правил и политик безопасности, проведение
обучений, что позволит компании стать безопаснее и быть более защищенной.
Будьте готовы
уделить значительную часть внимания вопросам процессинга и физической
безопасности. А так же к частой и длительной переписке с консультантами,
аудиторам и представителями. Но так же помните, что Вы для этой компании
клиент, который платит ей деньги, а значит хороший желанный клиент. По этой
причине не перегибая палку, напоминайте об этом всем, кто обеспечивает для
вашей компании сервис. Особенно в тех случаях, когда консалтинг заключается в
чтении при вас вслух пунктов стандарта.
Всегда помните, что аудитор ест хлеб, тоже из ваших рук и
если приложить немного усилий, то много о чем можно договориться. Ну и конечно
платежная система кровно заинтересована в том, что бы вы стабильно обеспечивали
ей доход.
Из всего выше сказанного можно подытожить, что для
соответствия еще нескольким стандартам их нужно знать и выполнять работы по
соответствию оным, но отнюдь не стоит их опасаться и переживать касательно их
узкой направленности.
По всем возникшим вопросам Вы можете обращаться в письменной
форме на мою почту.