Проект

«МультиКарта» и «Инфосистемы Джет» завершили проект по ресертификации на соответствие стандарту PCI DSS 3.0

Заказчики: МультиКарта

Финансовые услуги, инвестиции и аудит

Подрядчики: Инфосистемы Джет
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2014/09
Технология: ИБ - Антивирусы
подрядчики - 299
проекты - 1295
системы - 438
вендоры - 129
Технология: ИБ - Антиспам
подрядчики - 260
проекты - 1086
системы - 228
вендоры - 91
Технология: ИБ - Аутентификация
подрядчики - 300
проекты - 954
системы - 464
вендоры - 278
Технология: ИБ - Межсетевые экраны
подрядчики - 371
проекты - 1409
системы - 707
вендоры - 251
Технология: ИБ - Предотвращения утечек информации
подрядчики - 265
проекты - 1067
системы - 418
вендоры - 242
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 216
проекты - 753
системы - 303
вендоры - 137
Технология: ИБ - Средства шифрования
подрядчики - 269
проекты - 824
системы - 465
вендоры - 242

2014: PCI DSS 3.0

ООО «МультиКарта» и компания «Инфосистемы Джет» сообщили в октябре 2014 года о ресертификации процессинговой компании «МультиКарта» на соответствие требованиям новой версии международного стандарта по защите информации в индустрии платежных карт PCI DSS 3.0.

Проект ресертификации затронул все основные системы и процессы, обеспечивающие безопасность хранения, обработки и передачи данных платежных карт. В ходе его реализации были учтены не только новые, более строгие требования стандарта PCI DSS 3.0, но и актуальные потребности «МультиКарты», связанные с необходимостью обеспечения непрерывности бизнеса и завершением работ по объединению с ТрансКредитКард.

Основным партнером проекта стала компания «Инфосистемы Джет», обладающая статусами Qualified Security Assessor (QSA) и Approved Scanning Vendor (ASV). Эксперты компании провели комплексное обследование архитектуры и взаимодействия всех системных компонентов, входящих в состав сложной ИТ-инфраструктуры «МультиКарты», включающей более 60 серверов, расположенных на двух площадках в Москве и Санкт-Петербурге. Следующим шагом стали работы по совершенствованию и оптимизации существующих процессов в соответствии с новыми требованиями стандарта PCI DSS, которые осуществлялись с участием специалистов компании «МультиКарта».

На завершающем этапе отдельная команда специалистов компании «Инфосистемы Джет» провела сертификационный аудит. Проводилась проверка систем, осуществляющих обработку и хранение данных платежных карт, регламентирующих документов и процедур, конфигураций используемых средств защиты. По результатам составлено заключение о полном соответствии процессинговых центров «МультиКарты» требованиям PCI DSS.

Результаты проведенного аудита приняты международными платежными системами Visa и MasterCard, что подтверждается сертификатом о полном соответствии «МультиКарты» требованиям стандарта PCI DSS 3.0.

2011: PCI DSS 2.0

Компании «МультиКарта» и «Инфосистемы Джет» сообщили осенью 2011 года о завершении проекта по приведению процессингового центра «МультиКарта» в соответствие с требованиями международного стандарта по защите информации в индустрии платежных карт PCI DSS 2.0.

«МультиКарта» ─ одна из российских процессинговых компаний, обеспечивающая полный комплекс процессинговых услуг для банков и торгово-сервисных предприятий. Данные держателей банковских карт должны быть надежно защищены, поэтому компания ведет непрерывную работу по совершенствованию процессов обеспечения информационной безопасности.

Перед «МультиКарта» стояла задача о приведении процессингового центра в полное соответствие с требованиями PCI DSS 2.0, для реализации которой было принято решение о привлечении внешнего консультанта.

«С компанией "Инфосистемы Джет" мы сотрудничаем с 2008 года, когда в связи с ростом бизнеса нам потребовалась модернизация сетевой и серверной инфраструктуры, ─ комментирует Михаил Федоров, директор по информационной безопасности компании "МультиКарта". ─ Компания досконально знала особенности нашей инфраструктуры, владела спецификой нашего бизнеса и, кроме того, вела работы по направлению PCI DSS в ряде российских банков и процессинговых компаний. Это стало определяющим фактором при выборе подрядчика».

Компания «Инфосистемы Джет» является сертифицированным аудитором (статусы Approved Scanning Vendors (ASV) и Qualified Security Assessor (QSA)), что позволяет осуществлять подготовку и проведение аудитов организаций, оперирующих с данными платежных карт, на соответствие требованиям PCI DSS.

От исполнителя проекта требовалось понимание сложности ИТ-инфраструктуры компании «МультиКарта», включающей более 60 серверов, расположенных на двух площадках в г. Москве и г. Санкт-Петербурге. Кроме того, необходимо было учитывать строгие ограничения, связанные с обеспечением непрерывности бизнеса, а также параллельно проводимые работы по внедрению и миграции на новую процессинговую систему.Российский рынок CRM-систем: оценки, тренды, крупнейшие поставщики и перспективы. Обзор TAdviser 149 т

Проект состоял из нескольких этапов. На первом этапе специалисты компании «Инфосистемы Джет» провели комплексное обследование архитектуры и взаимодействия всех системных компонентов, входящих в состав процессинговой системы. Были определены границы области действия стандарта и разработан подробный план приведения в соответствие с требованиями стандарта. При этом план разрабатывался как для действующей, так и для новой процессинговой системы в соответствии с планом миграции.

«На этом этапе важно определить область предстоящей сертификации ─ системы, осуществляющие обработку и хранение данных платежных карт, для которых необходимо обеспечить соответствие всем требованиям PCI DSS, ─ комментирует заместитель директора Центра информационной безопасности компании "Инфосистемы Джет" Акимов Евгений. ─ Совместно со специалистами компании "МультиКарта" мы составили подробный план работ по приведению в соответствие, включающий комплекс необходимых организационных мероприятий, внедрение новых технических решений и модернизацию. На всех этапах проекта руководство и сотрудники "МультиКарта" были готовы идти на открытый диалог, мы обсуждали проектные вопросы и принимали совместные обоснованные решения».

Наиболее трудоемкий – второй этап проекта, связанный с непосредственным внедрением соответствующих мер обеспечения безопасности (процедур и технических средств). Одновременно с проводимыми специалистами компании «Инфосистемы Джет» работами компания «МультиКарта» внедряла новую процессинговую систему, расширяла спектр услуг и подключала новые банки. Это требовало от интегратора непрерывного анализа ситуации и оперативного внесения корректировок в реализуемые решения. Выполнение части требований стандарта взяла на себя компания «МультиКарта». В частности, специалисты компании вносили изменения в конфигурации функционирующих систем, дорабатывали внутренние регламенты и процедуры.

Третий этап проекта – проведение аудита на соответствие требованиям стандарта PCI DSS. Отдельная команда аудиторов компании «Инфосистемы Джет» провела процедуру сертификационного аудита. Проводилась проверка систем, осуществляющих обработку и хранение данных платежных карт, регламентирующих документов и процедур, конфигураций используемых средств защиты. По результатам составлено заключение о полном соответствии процессингового центра «МультиКарта» требованиям PCI DSS.

Результаты проведенного аудита были приняты международными платежными системами. Компания «МультиКарта» получила сертификат соответствия требованиям стандарта PCI DSS 2.0.

«Мы всегда стремимся обеспечивать высокий уровень оказываемых услуг и предпринимаем шаги по их совершенствованию и поддержке. Выполнение требований PCI DSS свидетельствует о безопасности карточных данных наших клиентов и высоком уровне обеспечения информационной безопасности в нашей компании в целом», – подчеркивает Михаил Федоров.