14.05.2010

Достижение соответствия требованиям стандарта PCI DSS ЗАО «Петрокарт»

Дата окончания проекта:

14 мая 2010 года

Заказчик:

ЗАО «Петрокарт» образовано в 1998-м году как дочернее предприятие банка «Петровский» для решения задач платежей по банковским картам. Компания предоставляет услуги по эмиссии и эквайрингу пластиковых карт VISA, MasterCard, обслуживает терминальную сеть банкоматов и POS терминалов ОАО «Банк «Петровский».

«Петрокарт» самостоятельно разрабатывает и эксплуатирует программно-аппаратные решения для реализации платежных технологий. Клиентами компании являются финансовые институты, нуждающиеся в использовании таких технологий, в первую очередь с использованием платежных карт.

Задачи:

В рамках проекта перед компанией «Информзащита» стояла задача содействия в подготовке и проведении обязательной процедуры аудита на соответствие требованиям международного стандарта безопасности в индустрии платежных карт PCI DSS.

Потребности бизнеса:

Высокий уровень конкуренции на рынке услуг платежей с помощью пластиковых карт, необходимость дополнительной защиты данных платежных карт клиентов в условиях повышения уровня мошенничества по пластиковым картам в мире, обязательное требование МПС VISA и MasterCard по приведению сервис-провайдеров 1-го уровня в соответствие со стандартом PCI DSS потребовали от ЗАО «Петрокарт» сконцентрировать усилия и обеспечить выполнение требований стандарта PCI DSS.

Решение:

В июле 2009-го года был подготовлен детальный план работ, целью которого было достижение соответствия требованиям PCI DSS. Для помощи в реализации плана и проведении последующего сертификационного аудита была привлечена компания «Информзащита», имеющая необходимые статусы QSA, ASV и успешную историю сотрудничества с компанией ЗАО «Петрокарт».

Результат:

14-го мая 2010-го года компания «Информзащита» завершила проект по подготовке и проведению сертификационного аудита ЗАО «Петрокарт» на соответствие требованиям PCI DSS, по результатам которого ЗАО «Петрокарт» был получен сертификат соответствия требованиям стандарта PCI DSS.

По мнению Директора ЗАО «Петрокарт» Ольги Тереховой: «Для ЗАО «Петрокарт» ценность достигнутого результата состоит в выполнении требований международных платежных систем, повышении уровня информационной безопасности при обработке данных платежных карт, укреплении доверия со стороны клиентов, получении дополнительных конкурентных преимуществ для развития бизнеса».

Описание решения:

Проект был реализован за 11 месяцев и включал в себя три основных этапа. На первом этапе специалистами ЗАО НИП «Информзащита» по результатам уточнения текущего состояния был разработан проект плана, включавшего более 60 различного рода работ. На втором этапе специалисты ЗАО «Петрокарт» с привлечением специалистов компании «Информзащита» провели комплекс необходимых работ по минимизации области действия стандарта, модернизации сети, защите ресурсов, внедрению новых технических решений, совершенствованию регламентов и процедур, обучению персонала, реализации необходимых мер защиты и процессов обеспечения информационной безопасности. В рамках выполнения плана была проведена инструментальная оценка защищенности среды обработки данных платежных карт, включая сканирование публично доступных узлов сети и тестирование возможности получения несанкционированного доступа к данным платежных карт. В мае 2010-го года был проведен сертификационный аудит, по результатам которого в июле ЗАО «Петрокарт» заслуженно был вручен сертификат соответствия PCI DSS Compliance.

По словам Максима Эмма, директора Департамента Аудита компании «Информзащита»: «Специалистам компании «Информзащита» и ЗАО «Петрокарт» пришлось приложить серьезные усилия для того, чтобы обеспечить выполнение всех требований стандарта PCI DSS с учетом особенностей инфраструктуры и в заданных бюджетных рамках. Одним из ключевых факторов успеха проекта я бы назвал выбранный подход к реализации плана достижения соответствия, когда обеспечивается тесное взаимодействие между клиентом и аудитором и периодический контроль со стороны аудитора не только по итогам реализации плана, но и в течение всего времени его реализации».

Справка:

Payment Card Industry Data Security Standard (Стандарт защиты информации в индустрии платежных карт) — это набор требований к безопасности данных держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover. Цель разработки стандарта PCI DSS — повысить защищенность электронных торговых и платежных систем. Платежная система VISA определила дату, к которой все сервис провайдеры должны провести данную сертификацию — 30-е сентября 2010-го года.