Специалист по информационной безопасности (PCI DSS)

Что предстоит делать

Обязанности: PCI DSS и международные стандарты ● Подготовка компании к сертификации PCI DSS v4.0 Service Provider Level 1. ● Поддержание соответствия требованиям PCI DSS. ● Взаимодействие с внешними QSA-аудиторами. ● Разработка и сопровождение политик и процедур информационной безопасности. ● Поддержание актуальности документации и контроль выполнения требований PCI DSS. Информационная безопасность платежной инфраструктуры ● Обеспечение безопасности Cardholder Data Environment (CDE). ● Контроль защиты данных держателей платежных карт. ● Контроль применения токенизации, шифрования и сегментации сети. ● Контроль журналирования и мониторинга событий безопасности. ● Проведение регулярных проверок доступа. Visa / Mastercard ● Обеспечение соответствия требованиям безопасности Visa и Mastercard. ● Работа с Security Bulletins и Security Alerts. ● Контроль выполнения требований VSIP и Mastercard SDP. ● Подготовка материалов для прохождения проверок международных платежных систем. Криптография и HSM ● Контроль процессов управления криптографическими ключами. ● Организация Key Ceremony. ● Контроль эксплуатации HSM. ● Управление жизненным циклом криптографических ключей. ● Контроль соответствия требованиям PCI PIN Security. Управление уязвимостями ● Организация процессов Vulnerability Management. ● Контроль устранения выявленных уязвимостей. ● Организация внешних и внутренних Penetration Test. ● Контроль выполнения требований по Patch Management. Инциденты информационной безопасности ● Разработка и сопровождение Incident Response Plan. ● Расследование инцидентов информационной безопасности. ● Организация реагирования на инциденты. ● Подготовка отчетности руководству. ● Взаимодействие с регуляторами при необходимости. Управление доступом ● Контроль модели RBAC. ● Проведение регулярных Access Review. ● Контроль применения MFA. ● Контроль процессов onboarding/offboarding пользователей. Работа с поставщиками ● Проведение оценки безопасности подрядчиков. ● Контроль требований к внешним поставщикам. ● Оценка рисков интеграций. ● Проверка соответствия требованиям информационной безопасности. Обучение сотрудников ● Организация ежегодного обучения по информационной безопасности. ● Проведение фишинговых тестов. ● Повышение осведомленности сотрудников. Регуляторное соответствие ● Контроль выполнения требований законодательства Республики Казахстан в области информационной безопасности. ● Подготовка материалов для регуляторов и аудитов. ● Контроль соответствия требованиям по защите персональных данных.

Что ждём от вас

• Обязательные
• Высшее образование в области информационной безопасности, информационных технологий или компьютерных наук.
• Опыт работы в информационной безопасности не менее 5 лет.
• Опыт работы в банковской сфере, финтехе или платежных организациях.
• Практический опыт подготовки и прохождения PCI DSS аудита.
• Понимание требований Visa и Mastercard.
• Опыт взаимодействия с внешними аудиторами.
• Знание современных технологий защиты информации.
• Опыт построения процессов управления информационной безопасностью.
• Английский язык — уверенное чтение технической документации.
• Будет преимуществом
• Опыт работы с HSM.
• Опыт работы с 3DS2.
• Опыт защиты высоконагруженных платежных систем.
• Опыт внедрения ISO/IEC 27001.
• Знание требований GDPR.
• Сертификации
• Преимуществом будут:
• CISSP
• CISM
• PCI ISA
• CISA
• ISO/IEC 27001 Lead Implementer / Lead Auditor
• CEH
• OSCP

Что предлагаем