IBM поможет соответствовать требованиям PCI DSS: комплексное решение
Корпорация IBM объявила о новой программе предоставления продуктов и услуг, помогающих клиентам обеспечить соответствие стандарту Payment Card Industry Data Security Standard (PCI DSS). В отличие от конкурирующих предложений, всесторонняя программа IBM проводит заказчика через весь процесс обеспечения соответствия стандарту PCI – от первоначальной оценки до завершающей сертификации – помогая выполнить все 12 требований PCI по защите данных о владельцах платежных карт.
Как известно, стандарт PCI DSS представляет собой набор из 12 требований по защите данных о платежных картах. Эти требования охватывают диапазон от конфигурирования и сопровождения межсетевых экранов до шифрованной передачи данных о владельцах карт и поддержания надлежащих политик безопасности и процедур тестирования.
Чтобы помочь клиентам в выполнении всех 12 указанных требований, решение IBM PCI включает консультационные услуги для анализа несоответствий, устранения несоответствий, валидации, текущего тестирования и отчетности, а также ряд продуктов, которые помогают организациям во всех аспектах планирования безопасности, управления и отчетности по соответствию требованиям.
Например, IBM предлагает ПО для решения следующих задач: оценка процесса обеспечения безопасности, управление информацией о безопасности и событиями безопасности, управление хранилищами, шифрование, управление идентификационными данными и доступом, управление изменениями и конфигурациями, предотвращение вторжений, тестирование прикладного уровня и мониторинг действий пользователей.
IBM реализует свое PCI-решение посредством программы, которая включает следующие пять фаз:
- Оценка: предусматривает полную проверку состояния безопасности, позволяющую выявить области, нуждающиеся в корректировке, и направления достижения и поддержания нормативного соответствия;
- Проектирование: предусматривает разработку стратегии, политик, стандартов и процедур безопасности, а также планирование реакции на инциденты, проектирование архитектуры безопасности и планирование реализации;
- Развертывание: предусматривает развертывание и оптимизацию программных и аппаратных средств безопасности, обеспечивающих защиту данных клиента как в процессе их перемещения, так и во время хранения, а также нейтрализацию выявленных уязвимостей и осуществление миграции;
- Управление: IBM оказывает текущую поддержку посредством решений для мониторинга состояния безопасности и управления ПО, а также оказания услуг по реагированию на чрезвычайные ситуации, юридическому анализу и анализу угроз;
- Обучение: IBM предоставляет непрерывно действующие учебные курсы по продуктам и программы подготовки по ИБ, с помощью которых клиенты могут обучать свой персонал навыкам долгосрочного обеспечения соответствия стандарту PCI.
В дополнение к текущим продуктам и услугам, IBM вводит дополнительные возможности по обеспечению соответствия стандарту PCI в свой портфель продуктов для руководства ИТ-ресурсами и управления рисками. Например, подразделение IBM Internet Security Systems недавно модернизировало свой продукт IBM Proventia Network Enterprise Scanner, дополнив его несколькими проверками на выявление несоответствий стандарту PCI. Это упрощает процедуру оценки сетевых уязвимостей в рамках программы обеспечения соответствия стандарту PCI. Кроме того, одно только решение IBM Proventia Network Multifunction Security для унифицированного управления угрозами обеспечивает выполнение 10 из 12 требований безопасности стандарта PCI.
ПО IBM Tivoli Compliance Insight Manager, предоставляющее инструментальную панель для аудита нормативного соответствия и механизм отчетности, теперь также включает модуль PCI DSS с набором специальных шаблонов отчетности, предназначенных для демонстрации соответствия организации политикам безопасности. Кроме того, ассортимент IBM теперь включает продукт IBM Rational AppScan, обеспечивающий соблюдение обязательных требований стандарта PCI DSS посредством автоматизации тестирования уязвимостей прикладного уровня и возможностей проникновения. Этот продукт позволяет выявлять известные и новые уязвимости на всем протяжении жизненного цикла ПО – от разработки до применения.
IBM также предлагает клиентам возможности для использования инвестиций в мэйнфреймы для проведения аудита на соответствие требованиям PCI. Мэйнфреймы обладают мощными механизмами безопасности, полностью удовлетворяющими требованиям аудита, включая решения для защищенного управления доступом и шифрования, и такие сетевые средства защиты, как встроенные сервисы обнаружения вторжений и сетевые агенты соблюдения установленной политики безопасности. Совокупность перечисленных механизмов позволяет эффективно предотвращать кражу идентификационной информации.
«За последние годы многие торговые предприятия убедились в том, что сегодня недостаточно обеспечить соответствие только некоторым или даже большинству обязательных требований стандарта PCI, – сказал Кристин Лавджой (Kristin Lovejoy), директор по стратегиям подразделения IBM Governance and Risk Management, добавив, что IBM «обладает необходимыми знаниями и квалификацией для предоставления всеобъемлющего решения, помогающего торговым предприятиям выполнять требования стандарта PCI».
© CNews