Достижение соответствия требованиям стандарта PCI DSS ЗАО «Армениан Кард»

ЗАО «Армениан Кард» — национальная система межбанковских расчетов на основе пластиковых карт в Армении. ЗАО «Армениан Кард» было учреждено в марте 2000-го года со стороны 10-и коммерческих банков Армении совместно с Центральным банком, при содействии USAID. Лицензия на осуществление процессинга по карточным операциям выдана Советом Центрального Банка РА 12 февраля 2003-го года. Акционерами ЗАО «Армениан Кард» являются Центральный банк Республики Армения и 17 коммерческих банков республики. Двадцати (из двадцати двух) коммерческим банкам Армении, Компания предоставляет услуги по эмиссии и эквайрингу пластиковых карт VISA, MasterCard, American Express, ArmenianCard, также обслуживает терминальную сеть банкоматов и POS терминалов на всей территории Республики Армения.

Задачи

В рамках проекта перед компанией «Информзащита» стояли задачи подготовки и проведения обязательной процедуры аудита на соответствие требованиям международного стандарта безопасности в индустрии платежных карт PCI DSS.

Payment Card Industry Data Security Standard (Стандарт защиты информации в индустрии платежных карт) — это набор требований к безопасности данных держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover. Цель разработки стандарта PCI DSS — повысить защищенность электронных торговых и платежных систем. Платежная система VISA определила дату, к которой все российские банки должны провести данную сертификацию — 30-е сентября 2010-го года.

Потребности бизнеса

Высокий уровень конкуренции на рынке услуг платежей с помощью пластиковых карт, необходимость дополнительной защиты данных платежных карт клиентов в условиях повышения уровня мошенничества по пластиковым картам в мире, обязательное требование МПС VISA и MasterCard по приведению Банка в соответствие со стандартом PCI DSS к октябрю 2010-го года потребовали от «Армениан Кард» сконцентрировать усилия и обеспечить выполнение требований стандарта PCI DSS.

Решение

По результатам аудита 2008-го года был составлен детальный план устранения несоответствий, главной целью которого было достижение соответствия требованиям PCI DSS. Для помощи в подготовке и проведении последующего сертификационного аудита была привлечена компания «Информзащита», имеющая необходимые статусы QSA и ASV и успешную историю сотрудничества с компанией «Армениан Кард».

Результат:

30-го декабря 2009-го года компания «Информзащита» завершила проект по подготовке и проведению сертификационного аудита «Армениан Кард» на соответствие требованиям PCI DSS в. 1.2, по результатам которого «Армениан Кард» получила сертификат соответствия требованиям стандарта PCI DSS.

Исполнительный директор ЗАО «Армениан Кард» Шаген Оганесян подчеркнул, что с момента утверждения стандарта PCI DSS (2006 г.), компания поставила перед собой задачу — полностью соответствовать стандарту PCI DSS. Работы по достижению соответствия стандарту PCI DSS привели к формированию нового уровня организации рабочего процесса и положительно повлияли на качество и безопасность услуг, оказываемых компанией ЗАО «Арменин Кард». Поскольку Сертификат Соответствия выдается сроком на один год и подлежит к ежегодному аудиту, Шаген Оганесян заверил, что ЗАО «Арменин Кард» продолжит работы по удержанию и подтверждению достигнутых результатов.

Описание решения

Проект был реализован в несколько основных этапов и продолжался более двух лет. По результатам аудита в 2008-м году был составлен детальный план устранения несоответствий, сформирована рабочая группа из сотрудников «Армениан Кард» и «Информзащиты». На следующем этапе были выполнены все необходимые работы по устранению несоответствий, в том числе была проведена инструментальная оценка защищенности среды обработки данных платежных карт, включающая сканирование публично доступных узлов сети «Армениан Кард» и тестирование возможности получения несанкционированного доступа к данным платежных карт. На завершающем этапе проекта был проведен сертификационный аудит, по результатам которого не было выявлено ни одного несоответствия требованиям стандарта, что позволило компании «Информзащита» вынести положительное заключение и выдать «Армениан Кард» сертификат соответствия стандарту PCI DSS.

По словам Максима Эмма, директора Департамента Аудита компании «Информзащита»: «Специалистам компании «Информзащита» и «Армениан Кард» пришлось приложить серьезные усилия для того чтобы обеспечить выполнение всех требований стандарта PCI DSS с учетом особенностей инфраструктуры «Армениан Кард» и в заданных бюджетных рамках. Одним из ключевых факторов успеха проекта я бы назвал выбранный подход к реализации плана достижения соответствия, при котором обеспечивается тесное взаимодействие между клиентом и аудитором и периодический контроль со стороны аудитора не только по итогам реализации плана, но и в течение всего времени его реализации». Также Максим Эмм отметил, что «Армениан Кард» является первой в Армении и входит в десятку компаний, получивших сертификат соответствия требованиям PCI DSS в России и СНГ.