Илья Александров, риск-менеджер Группы QIWI: «QIWI осуществляет регулярный анализ рисков безопасности и совершенствует алгоритмы систем защиты всех элементов продуктовой линейки. Сертифицируя QIWI Кассир на соответствие PA-DSS мы проделали масштабную работу, учитывая региональную структуру наших агентов по всей России, которые пользуются данным решением при оказании платежных услуг».

Заказчик

QIWI – ведущий платежный сервис нового поколения в России и странах СНГ, которому принадлежит интегрированная платежная сеть, позволяющая производить платежи по физическим, интернет и мобильным каналам связи. Она включает свыше 18 млн виртуальных кошельков и более 157 000 терминалов и точек приема платежей. С помощью QIWI торговые компании принимают платежи (в денежной и электронной форме) на сумму 69 млрд руб. от более чем 53 млн клиентов, которые пользуются услугами сети не реже одного раза в месяц. Клиенты QIWI могут использовать наличные, предоплаченные карты и другие способы безналичных расчетов для заказа и оплаты товаров и услуг, используя физические и электронные платежные инструменты попеременно.

Задача

Приложение QIWI Кассир позволяет принимать платежи в адрес более чем 12 тысяч поставщиков услуг сотовой связи, интернета, электронной коммерции, электронных денег, цифрового телевидения, ЖКХ, а также для погашения кредитов, пополнения банковских счетов и карт с помощью компьютера. QIWI Кассир, являясь платежным приложением, хранящим, обрабатывающим и передающим данные о держателях карт, должно соответствовать стандарту безопасности платёжных приложений PA-DSS.

«Информзащита» и Группа QIWI являются партнерами, поэтому выбор подрядчика на сертификацию был обусловлен уже успешно реализованными проектами. Помимо этого, «Информзащита» стала первой в России компанией, получившей статус VISA Qualified Security Assessor, и с 2006 года предоставляет услуги по аудиту на соответствие международному стандарту Payment Card Industry Data Security Standard (PCI DSS), имея обширную экспертизу и сотни проведенных аудитов.

Проект

Работы экспертов «Информзащиты» по сертификации сервиса QIWI Кассир проходили в три этапа. Был проведен первичный анализ существующих процессов разработки приложения и выстроен план устранения выявленных недостатков. Затем аудиторы осуществили сертификационную проверку, а в заключении согласовали отчет с Советом PCI SCC и выдали заказчику сертификат соответствия.

Результаты

В настоящее время сервис сертифицирован и опубликован на сайте PCI SSC, а QIWI Кассир подтвердил безопасность проведения платежей. 

«Информзащита» имеет глобальный опыт подтверждения соответствия требованиям, аудиты на соответствие стандарту PA-DSS проводятся нашими специалистами восьмой год. Накопленная экспертиза позволяет определить оптимальную для заказчика схему проведения подготовительных работ и сертификации, а также профессионально и точно прорабатывать вопросы информационной безопасности в рамках процессов разработки и поддержки программных продуктов», - комментирует начальник отдела безопасности банковских систем компании «Информзащита» Дмитрий Кудинов.