10 ноября 2011

«Инфосистемы Джет» провели аудит процессингового центра «МультиКарта» по стандарту PCI DSS 2.0

Компании «МультиКарта» и «Инфосистемы Джет» сообщили о завершении проекта по приведению процессингового центра «МультиКарта» в соответствие требованиям международного стандарта по защите информации в индустрии платежных карт PCI DSS 2.0.

«МультиКарта» — крупная российская процессинговая компания, обеспечивающая полный комплекс процессинговых услуг для банков и торгово-сервисных предприятий. Данные держателей банковских карт должны быть надежно защищены, поэтому компания ведет непрерывную работу по совершенствованию процессов обеспечения информационной безопасности. Перед «МультиКартой» стояла задача по приведению процессингового центра в полное соответствие требованиям PCI DSS 2.0, для решения которой был приглашен внешний консультант.

«С компанией “Инфосистемы Джет” мы сотрудничаем с 2008 года, когда в связи с ростом бизнеса нам потребовалась модернизация сетевой и серверной инфраструктуры, — рассказал Михаил Федоров, директор по информационной безопасности компании «МультиКарта». — Компания досконально знала особенности нашей инфраструктуры, владела спецификой нашего бизнеса и, кроме того, вела работы по направлению PCI DSS в ряде российских банков и процессинговых компаний. Это стало определяющим фактором при выборе подрядчика».

«Инфосистемы Джет» являются сертифицированным аудитором (статусы Approved Scanning Vendors (ASV) и Qualified Security Assessor (QSA)), что позволяет компании осуществлять подготовку и проводить аудиты организаций, оперирующих с данными платежных карт, на соответствие требованиям PCI DSS.

От исполнителя проекта требовалось понимание сложности ИТ-инфраструктуры компании «МультиКарта», включающей более 60 серверов, расположенных на двух площадках в Москве и Санкт-Петербурге. Кроме того, необходимо было учитывать строгие ограничения, связанные с обеспечением непрерывности бизнеса, а также параллельно проводимые работы по внедрению и миграции на новую процессинговую систему.

Проект состоял из нескольких этапов. На первом этапе специалисты компании «Инфосистемы Джет» провели комплексное обследование архитектуры и взаимодействия всех системных компонентов, входящих в состав процессинговой системы. Были определены границы области действия стандарта и разработан подробный план приведения в соответствие требованиям стандарта. При этом план разрабатывался как для действующей, так и для новой процессинговой системы в соответствии с планом миграции.

«На этом этапе важно определить область предстоящей сертификации — системы, осуществляющие обработку и хранение данных платежных карт, для которых необходимо обеспечить соответствие всем требованиям PCI DSS, — подчеркнул заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Евгений Акимов. — Совместно со специалистами компании “МультиКарта” мы составили подробный план работ по приведению в соответствие, включающий комплекс необходимых организационных мероприятий, внедрение новых технических решений и модернизацию. На всех этапах проекта руководство и сотрудники "МультиКарты" были готовы идти на открытый диалог, мы обсуждали проектные вопросы и принимали совместные обоснованные решения».

Наиболее трудоемким стал второй этап проекта, связанный с непосредственным внедрением соответствующих мер обеспечения безопасности (процедур и технических средств). Одновременно с проводимыми специалистами компании «Инфосистемы Джет» работами компания «МультиКарта» внедряла новую процессинговую систему, расширяла спектр услуг и подключала новые банки. Это требовало от интегратора непрерывного анализа ситуации и оперативного внесения корректировок в реализуемые решения. Выполнение части требований стандарта взяла на себя компания «МультиКарта». В частности, специалисты компании вносили изменения в конфигурации функционирующих систем, дорабатывали внутренние регламенты и процедуры, говорится в сообщении компании «Инфосистемы Джет».

В рамках третьего этапа проекта был проведен сертификационный аудит процессингового центра на соответствие требованиям стандарта PCI DSS. Процедуру провела отдельная команда аудиторов компании «Инфосистемы Джет». Проводилась проверка систем, осуществляющих обработку и хранение данных платежных карт, регламентирующих документов и процедур, конфигураций используемых средств защиты. По результатам составлено заключение о полном соответствии процессингового центра «МультиКарта» требованиям PCI DSS. Результаты проведенного аудита были приняты международными платежными системами. «МультиКарта» получила сертификат соответствия требованиям стандарта PCI DSS 2.0.

«Выполнение требований PCI DSS свидетельствует о безопасности карточных данных наших клиентов и высоком уровне обеспечения информационной безопасности в нашей компании в целом», — заключил Михаил Федоров.