PCI DSS и международные стандарты
● Подготовка компании к сертификации PCI DSS v4.0 Service Provider Level 1.
● Поддержание соответствия требованиям PCI DSS.
● Взаимодействие с внешними QSA-аудиторами.
● Разработка и сопровождение политик и процедур информационной безопасности.
● Поддержание актуальности документации и контроль выполнения требований PCI DSS.
Информационная безопасность платежной инфраструктуры
● Обеспечение безопасности Cardholder Data Environment (CDE).
● Контроль защиты данных держателей платежных карт.
● Контроль применения токенизации, шифрования и сегментации сети.
● Контроль журналирования и мониторинга событий безопасности.
● Проведение регулярных проверок доступа.
Visa / Mastercard
● Обеспечение соответствия требованиям безопасности Visa и Mastercard.
● Работа с Security Bulletins и Security Alerts.
● Контроль выполнения требований VSIP и Mastercard SDP.
● Подготовка материалов для прохождения проверок международных платежных систем.
Криптография и HSM
● Контроль процессов управления криптографическими ключами.
● Организация Key Ceremony.
● Контроль эксплуатации HSM.
● Управление жизненным циклом криптографических ключей.
● Контроль соответствия требованиям PCI PIN Security.
Управление уязвимостями
● Организация процессов Vulnerability Management.
● Контроль устранения выявленных уязвимостей.
● Организация внешних и внутренних Penetration Test.
● Контроль выполнения требований по Patch Management.
Инциденты информационной безопасности
● Разработка и сопровождение Incident Response Plan.
● Расследование инцидентов информационной безопасности.
● Организация реагирования на инциденты.
● Подготовка отчетности руководству.
● Взаимодействие с регуляторами при необходимости.
Управление доступом
● Контроль модели RBAC.
● Проведение регулярных Access Review.
● Контроль применения MFA.
● Контроль процессов onboarding/offboarding пользователей.
Работа с поставщиками
● Проведение оценки безопасности подрядчиков.
● Контроль требований к внешним поставщикам.
● Оценка рисков интеграций.
● Проверка соответствия требованиям информационной безопасности.
Обучение сотрудников
● Организация ежегодного обучения по информационной безопасности.
● Проведение фишинговых тестов.
● Повышение осведомленности сотрудников.
Регуляторное соответствие
● Контроль выполнения требований законодательства Республики Казахстан в области информационной безопасности.
● Подготовка материалов для регуляторов и аудитов.
● Контроль соответствия требованиям по защите персональных данных.