25.09.2013

Приведение среды обработки данных платежных карт Банка «Возрождение» (ОАО) к соответствию требованиям стандарта Payment Card Industry Data Security Standard

Дата окончания проекта: 28-го декабря 2012-го года

Заказчик: Банк «Возрождение», персональный банк для корпоративных и частных клиентов, основан в апреле 1991-го года (Генеральная лицензия ЦБ РФ № 1439 от 24-го марта 2003-го года). По данным ЦБ РФ, входит в ТОП-30 крупнейших российских банков. Филиальная сеть банка насчитывает 151 офис и 817 банкоматов в 21-м регионе России. Банк обслуживает свыше 1,6 млн частных лиц и 62,6 тыс. корпоративных клиентов, предлагая широкий спектр услуг, который включает ведение сберегательных счетов, расчетные операции, зарплатные проекты, кредитование юридических и физических лиц, в том числе предоставление ипотечных кредитов, обслуживание банковских карт. Подробнее на www.vbank.ru.

Задача:

Работы по приведению среды обработки данных платежных карт банка к соответствию требованиям стандарта PCI DSS были разделены на четыре этапа:

  • предварительный аудит на соответствие требованиям стандарта;
  • составления перечня мер, принятие которых необходимо для соответствия стандарту;
  • консультация специалистов банка по вопросам выстраивания процессов обработки;
  • сертификационный аудит на соответствие требованиям стандарта.

 Потребности бизнеса:

Банк «Возрождение» (ОАО) осуществляет выпуск и обслуживание карт платежных систем Visa и MasterCard, предоставляет услуги торгового эквайринга по картам указанных платежных систем. За 2012-й год число активных держателей платежных карт, выданных банков, превысило 1,4 млн. По требованиям платежных систем, организации, выполняющие обработку и хранение данных платежных карт, обязаны ежегодно подтверждать соответствие стандарту безопасности PCI DSS. Как и ранее исполнителем проекта, обладающим статусом QSA и имеющим право проводить проверку соответствия требованиям стандарта, стала компания «Информзащита».

Решение:

В соответствие с разработанным планом были проверены процессы обеспечения безопасности данных платежных карт и сформирован подробный перечень работ по процессам, требующим коррекции. После совместного с Банком устранения недочетов был проведен сертификационный аудит, который охватил следующие процессы и процедуры обеспечения ИБ:

  • актуализация организационно-распорядительной документации в области ИБ;
  • управление правилами доступа и конфигурациями МСЭ и сетевого оборудования;
  • управление конфигурациями ОС, СУБД и прикладного программного обеспечения;
  • управление жизненным циклом данных платежных карт;
  • управление жизненным циклом ключей шифрования данных платежных карт;
  • управление уязвимостями, включая процедуры инструментального анализа защищенности;
  • разработка прикладного программного обеспечения;
  • управление доступом к информационным системам;
  • инвентаризация носителей с данными карт;
  • контроль несанкционированных беспроводных точек доступа;
  • ежегодный анализ рисков;
  • повышение осведомленности сотрудников в вопросах ИБ;
  • мониторинг событий и реагирование на инциденты информационной безопасности.

Специалистами компании «Информзащита» были осуществлены:

  • консультации по вопросам применения стандарта PCI DSS и реализации требуемых защитных мер;
  • подбор компенсационных мер в случаях, когда выполнение исходного требования стандарта нецелесообразно или технически невозможно;
  • проверка дорабатываемой/разрабатываемой документации, регламентирующей вопросы информационной безопасности;
  • контроль хода работ, оперативное выявление проблем при реализации плана, его корректировка при необходимости.

Результат:

Успешное прохождение сертификационного аудита подтвердило соответствие процессов обеспечения безопасности на всех этапах обработки данных платежных карт требованиям международных платежных систем.

Отзыв клиента:

«Число активных держателей карт банка постоянно увеличивается, – прокомментировал  Андрей Грициенко, начальник службы информационной безопасности банка «Возрождение». – Сейчас их число составляет 1,4 миллиона. Для привлечения новых клиентов недостаточно просто соответствовать стандарту, нужно обеспечивать действительную защиту. Коллеги из компании «Информзащита» полностью разделяют наш подход и помогают его реализовать даже в типовых проектах».

В благодарственном письме, отправленном банком, отмечается высокий профессионализм сотрудников компании «Информзащита», отличное знание объекта и предмета проверки.