понедельник, 4 февраля 2013 г.

Особенности прохождения аудитов VISA и MASTERCARD

Прошло уже около года с того времени как я обещал написать данную статью. Так получилось, что за то время много чего изменилось. Я сделал выбор заниматься консалтингом по вопросам информационной безопасности, и в частности подготовки компаний к прохождению аудита PCI DSS, VISA и MASTERCARD, не будучи наемным сотрудником. Уехал из Москвы, как города, который не подходит мне для жизни, хотя изобилует предложениями о работе и хорошими зарплатами, но все же выбрав Киев. Тут я вырос и мне нравится этот город. А зиму, как и планировал, стараюсь проводить на островах в Азии.
Вторым направлением, которым я стал заниматься, стало то, что давно было моим хобби и давало мне самые приятные эмоции. Сейчас кроме консалтинга по безопасности я читаю тренинги по личной эффективности, и предоставляю услуги коучинга,  а если простыми словами, то помогаю людям достигать их целей. Приятно общаться с людьми, которые интересны сами по себе, развиваются и стремятся к достижению своих целей, зачастую именно такие задаются вопросами эффективности и коучинга. Вдвойне приятно когда получается быть полезным таким людям.  
Я давно ничего существенного не писал в блоге, по этой причине прошу мне простить 2 абзаца сверху, имеющие косвенное отношение к теме статьи. С чего-то нужно начинать.
Данная статья посвящена аудитам платежных систем VISA и MASTERCARD. В статье будут поставлены акценты на отличия от PCI DSS. Так же будет рассмотрены этапы подготовки и прохождения аудита. По возможности рассмотрены отличия между аудитами VISA и MASTERCARD. Будут даны рекомендации, на какие из вопросов обратить внимание, на каком этапе и каких аудиторов привлекать и чего от них требовать. Даны рекомендации как построить процесс подготовки и прохождения аудита.


В данной статье прохождение аудитов будет рассмотрено на примере процессинговой компании.
Как и для PCI DSS при прохождении аудитов все начинается с ознакомления с требованиями для их прохождения. Данные аудиты являются ежегодными и могут проводиться компаниями из утвержденного списка. Список «утвержденных» компаний и необходимую документацию по подготовке к аудиту можно получить, например, у вашего куратора от VISA или MASTERCARD или напрямую через ваше контактное лицо в этой компании.
После получения материалов с требованиям стоит оценить, на сколько вы соответствуете хотя бы в первом приближении. Для меня в первый раз было не очень приятной неожиданностью, что требования стандартов безопасности VISA и MASTERCARD только частично сходятся с требованиями PCI DSS. А много где выходят за рамки упомянутого стандарта. Особенно в части проверки систем физической безопасности, вплоть до ламп внешнего освещения.
Самым лучшим вариантом будет провести пред аудит самостоятельно и определить, что у вас работает, а что необходимо создать или доработать. То же самое касается не только систем, но и процессов, документов и обучения персонала.
В идеале если вам необходимо проходить ежегодно три аудита: VISA, MASTERCARD и PCI DSS, то лучше составить единую матрицу проверок, соответствий и периодических процедур. Таким образом, что бы в точках пересечения требования выполнялись и контролировались по самому жесткому критерию из данных трех стандартов.
Так же если какой то из аудитов вы проходите первый раз, то есть смысл не разрабатывать отдельные документы и класть на соседнюю полочку, а требования стандарта вписывать в уже имеющиеся регуляторные документы. Таким образом с меньшим количеством документов несколько проще добиться их соблюдения.
Что касается устранения несоответствий по результатам внутреннего аудита, то тут нет отличий от устранения несоответствий любому другому стандарту. Только с учетом того нюанса, что  стандарты узко специализированы и по этой причине могут возникнуть разногласия в толковании требований у вас, аудиторов и представителя платежной системы.
К тому времени когда данные вопросы станут актуальными стоит как раз и привлекать аудиторов, а заодно и проверить их компетентность, на этапе подписания договоренностей направляя им свои вопросы. Но тут все не так просто. На моей памяти я работал с несколькими аудиторскими компаниями, самой именитой из которых была компания первой аудиторской четверки – PriceWaterHouse Coupers из Гонконга. И вся ирония в том, что аудиторы рассказывают требование так, как они его себе видят или понимают исходя из опыта, и с этой позиции дают рекомендации. А, например, представитель VISA видит или понимает  то же требование иначе. И выдвигает требование сделать иначе. При том в лучшем случае говорит, что и как переделать, а в худшем просто говорит, что оно не выполнено. И крутись, как хочешь.
В этой ситуации, когда сначала делаешь соответствие требованиям на основе самостоятельно проведенного внутреннего аудита, потом удовлетворяешь рекомендации аудиторов исходя из их понимания, и напоследок еще исправляешь то, что не принимает представитель VISA, так как у него свой взгляд, то мягко говоря не испытываешь от этого вдохновения. При том, что зачастую ваша компания в одной стране, аудиторы из другой, а представители платежной системы в третьей. Все это сказывается на скорости работы и на взаимопонимании, особенно если используются несколько языков в переписке. 
Как же избежать такой ситуации?
Полностью избежать ее не получится. Но можно принять меры по ее упрощению.
      1.       Разберитесь с требованиями стандарта, настолько детально, насколько получиться. Если есть коллеги с опытом прохождения данного аудита, всегда используйте возможность проконсультироваться по трактовке стандарта, если она вызывает у вас хоть какие-то сомнения.
      2.       Привлекайте консультанта на тапе подготовки к аудиту. Лучше, что бы данный консультант имел отношение не просто к аудитам в сфере информационной безопасности, а специализировался на нужном вам вопросе. Имел опыт аналогичных проектов. Желательно что бы вы с ним говорили на одном языке.
      3.       Привлекая аудиторов, понимайте, зачем они вам, кроме того, что они просто есть в списке аккредитованных платежной системой. Что реально полезного они могут вам дать за уплаченные им деньги? Какой у них опыт, какие компетенции именно у того аудитора, который будет проводить аудит у вас в компании? Сколь просто вам с ним общаться, сколь охотно и понятно он отвечает на заданные вами вопросы? В каких компаниях данный аудитор проводил аудит? Довольны ли эти компании его услугами?
      4.       Начинайте процесс подготовки к сертификации заранее, так как, не смотря на возможность предоставления к намеченной дате соответствия плана устранения, а не полного соответствия это дает отсрочку всего на 40 дней. Что для устранения большого количества несоответствий мало. И не всегда получается этот срок продлить.
      5.       Старайтесь получить пользу от требования прохождения аудита для вашей компании. Например, замену аппаратных и программных систем, внедрения правил и политик безопасности, проведение обучений, что позволит компании стать безопаснее и быть более защищенной.
  Будьте готовы уделить значительную часть внимания вопросам процессинга и физической безопасности. А так же к частой и длительной переписке с консультантами, аудиторам и представителями. Но так же помните, что Вы для этой компании клиент, который платит ей деньги, а значит хороший желанный клиент. По этой причине не перегибая палку, напоминайте об этом всем, кто обеспечивает для вашей компании сервис. Особенно в тех случаях, когда консалтинг заключается в чтении при вас вслух пунктов стандарта.
Всегда помните, что аудитор ест хлеб, тоже из ваших рук и если приложить немного усилий, то много о чем можно договориться. Ну и конечно платежная система кровно заинтересована в том, что бы вы стабильно обеспечивали ей доход.
Из всего выше сказанного можно подытожить, что для соответствия еще нескольким стандартам их нужно знать и выполнять работы по соответствию оным, но отнюдь не стоит их опасаться и переживать касательно их узкой направленности.
По всем возникшим вопросам Вы можете обращаться в письменной форме на мою почту: viktor.davydych@gmail.com

Комментариев нет: