Secode PCI Technical Compliance Pack

Secode har som første selskap i Norge både PCI Qualified Security Assessor og Approved Scanning Vendor godkjenning. Secode kan utføre rådgivningstjenester frem mot validering, kvartalsvise/ årlige skanninger og PCI-validering. PCI standarden har strenge sanksjonsregler dersom din virksomhet ikke oppfyller kravene og uhellet er ute.

Dersom din virksomhet benytter andre rådgivningsselskaper til sertifiseringsarbeidene, kan Secode utføre alle teknisk relaterte krav for å oppfylle standarden. Utestående tekniske sikkerhetstiltak fra revisjonsrapporten i din virksomhet kan med fordel utføres av Secode, som har lang profesjonell erfaring innenfor de nødvendige områdene for å oppfylle standarden. Dette gjelder følgende områder:

• SDP Scanning (Intern og ekstern scanning)
• Applikasjonstest (best practice frem til juni 2008 - deretter er den et krav i standarden)
• Logghåndtering og logganalyse
• Sikkerhetsovervåking med IDS/IPS

Våre PCI sertifiserte medarbeidere vil tilpasse en tjeneste som passer din virksomhet og kravene din virksomhet i følge sertifiseringsprosessen mangler for å oppnå full compliance. Secode tilbyr en total pakke med nødvendige tjenester, til en fast, lav årlig pris. Dette bringer deg raskt til en konkret avslutning av sertifiseringsarbeidene slik at du oppnår endelig sertifisering. og tjenestene vil bli utført diskret og effektivt i henhold til standardens krav.

Våre PCI sertifiserte medarbeidere vil etter iverksetting skriftlig dokumentere at kravene er oppfylt overfor din QSA leverandør på de nødvendige formater og med den nødvendige argumentasjon.

Noen utdrag av standarden

Under følger et utvalg av kravene som Secodes PCI Technical Compliance Pack kan inneholde for din virksomhet, og Secode har sertifisert personell, tekniske løsninger og referansekunder innenfor alle kategorier:

Logg og IDS/IPS

Review logs for all system components at least daily. Log reviews must include those servers that perform security functions like intrusion detection system (IDS) and authentication, authorization, and accounting protocol (AAA) servers (for example, RADIUS).

Use network intrusion detection systems, host-based intrusion detection systems, and intrusion prevention systems to monitor all network traffic and alert personnel to suspected compromises. Keep all intrusion detection and prevention engines up-to-date.

Applikasjoner

Ensure that all web-facing applications are protected against known attacks by applying either of the following methods:

- Having all custom application code reviewed for common vulnerabilities by an organization that specializes in application security

- Installing an application layer firewall in front of web-facing applications.

Note: This method is considered a best practice until June 30, 2008, after which it becomes a requirement.

IRT (Incident Response Team)

Implement an incident response plan. Be prepared to respond immediately to a system breach.

Create the incident response plan to be implemented in the event of system compromise.

Ensure the plan addresses, at a minimum, specific incident response procedures, business recovery and continuity procedures, data backup processes, roles and responsibilities, and communication and contact strategies (for example, informing the Acquirers and credit card associations)

Test the plan at least annually

Designate specific personnel to be available on a 24/7 basis to respond to alerts.

Provide appropriate training to staff with security breach response responsibilities

Include alerts from intrusion detection, intrusion prevention, and file integrity monitoring systems.

Develop process to modify and evolve the incident response plan according to lessons learned and to incorporate industry developments.