Приведение двух процессинговых центров компании «МультиКарта» в соответствие с требованиями международного стандарта безопасности в индустрии платежных карт PCI DSS

Компания «МультиКарта» постоянно наращивает свою клиентскую базу и на сегодняшний день оперирует данными платежных карт 38 банков, среди которых – крупнейшие российские эмитенты. Предлагая рынку полный комплекс высокотехнологичных услуг, компания уделяет особое внимание совершенствованию процессов обеспечения информационной безопасности.

«Развитие новых сервисов и обеспечение безопасности операций для держателей карт — одно из приоритетных направлений нашей деятельности, – комментирует Михаил Федоров, директор по информационной безопасности компании “МультиКарта”. – Благодаря совместной работе по модернизации сетевой и серверной инфраструктуры “МультиКарты”, компания “Инфосистемы Джет” досконально знала ее особенности и понимала специфику нашего бизнеса. Помимо этого, компания зарекомендовала себя на рынке как опытный PCI DSS-консультант, успешно реализовавший ряд проектов по приведению в соответствие стандартам процессинговых компаний и банков. Это стало определяющим фактором при выборе интегратора».

В рамках реализации стратегии укрупнения и расширения бизнеса, а также в связи с ростом нагрузки на существующие вычислительные комплексы, «МультиКарта» завершила проект по созданию нового отказоустойчивого процессингового центра, отвечающего всем требованиям стандарта безопасности в индустрии платежных карт. Партнером в решении задач по обеспечению соответствия нового и действующего процессинговых центров требованиям стандарта PCI DSS стала компания «Инфосистемы Джет».

Решение

Проект был реализован в несколько этапов. Как и в других аналогичных проектах, первоначально было проведено комплексное обследование архитектуры и взаимодействия всех системных компонентов, входящих в состав процессинговой системы. Были определены границы области действия стандарта и разработан подробный план приведения в соответствие с требованиями стандарта.

План работ составлялся сразу для двух процессинговых систем. Специалисты «Инфосистемы Джет» осуществляли проектирование с учетом того, какие решения возможно реализовать на действующем процессинге, а какие – на новом. В этом отношении незаменимой оказалась как поддержка консультантов «Инфосистемы Джет», так и опыт технических специалистов и знание тех или иных особенностей технологических платформ. Все компоненты будущей системы информационной безопасности строились во взаимосвязи и действительно полезны в повседневной жизни компании.

На этом этапе важно определить область предстоящей сертификации – выявить системы, осуществляющие обработку и хранение данных платежных карт, для которых необходимо обеспечить соответствие всем требованиям PCI DSS, – комментирует заместитель директора Центра информационной безопасности компании “Инфосистемы Джет” Евгений Акимов. – Совместно со специалистами компании “МультиКарта” мы составили подробный план работ по приведению в соответствие, включающий комплекс необходимых организационных мероприятий, внедрение новых технических решений и модернизацию. На всех этапах проекта руководство и сотрудники “МультиКарта” шли на открытый диалог, мы обсуждали проектные вопросы и принимали совместные обоснованные решения».

Второй этап проекта – внедрение организационных процедур и технических средств обеспечения безопасности. Выполнение части требований стандарта взяла на себя компания «МультиКарта». В частности, специалисты компании вносили изменения в конфигурации функционирующих систем, дорабатывали внутренние регламенты и процедуры.

На завершающем этапе отдельная команда специалистов компании «Инфосистемы Джет» провела сертификационный аудит. Проводилась проверка систем, осуществляющих обработку и хранение данных платежных карт, регламентирующих документов и процедур, конфигураций используемых средств защиты. По результатам составлено заключение о полном соответствии процессинговых центров «МультиКарта» требованиям PCI DSS.

«Мы всегда стремимся обеспечивать высокий уровень оказываемых услуг и предпринимаем шаги по их совершенствованию и поддержке. Выполнение требований PCI DSS свидетельствует о безопасности карточных данных наших клиентов и высоком уровне обеспечения информационной безопасности в нашей компании в целом. Это непрерывный процесс, соответствие необходимо подтверждать ежегодно, и мы планируем продолжить работы по повышению защищенности наших бизнес-процессов», – подчеркивает Михаил Федоров.

Результаты проведенного аудита были приняты международными платежными системами. Компания «МультиКарта» получила сертификат соответствия требованиям стандарта PCI DSS 2.0.

Результат

В настоящее время оба процессинговых центра «МультиКарты» сертифицированы по стандарту PCI DSS 2.0.Наличие сертификата PCI DSS позволяет минимизировать финансовые и репутационные риски, повысить доверие в глазах клиентов, партнеров. Помимо этих преимуществ, соответствие PCI DSS является «сертификатом доверия» от международных платежных систем и означает, что Visa и Mastercard рекомендуют банкам компанию как надежного партнера.

Соответствие требованиям стандарта PCI DSS – обязательное требование международных платежных систем, распространяющееся на все организации, которые хранят, обрабатывают или передают данные держателей платежных карт