Банк прошел сертификационный аудит. Международные платежные системы подтвердили статус соответствия требованиям стандарта.
Московский Кредитный Банк проводит операции с пластиковыми картами с 1996 г. Сегодня Банк предлагает частным лицам кредитные и дебетовые пластиковые карты основных международных платёжных систем — Visa и MasterCard; от самых демократичных Еlеctron до элитных Gold, Platinum и Infinite. Корпоративные клиенты Банка могут воспользоваться целым рядом современных продуктов на основе банковских карт таких как: эквайринг (организация приема пластиковых карт к оплате), зарплатный проект (перечисление зарплаты на карты), таможенная карта «ЗЕЛЕНЫЙ КОРИДОР» и международная корпоративная карта. Поэтому обеспечение и подтверждение безопасности обрабатываемых данных платежных карт – первоочередная задача в рамках общего обеспечения информационной безопасности Банка.
Исполнителем работ по приведению платежной системы Банка в соответствие требованиям стандарта было выбрана компания «Инфосистемы Джет», имеющая значительный опыт выполнения проектов по данному направлению и обладающая необходимыми статусами Qualified Security Assessor (QSA, для проведения «on-site» аудита) и Approved Scanning Vendor (ASV, для проведения работ по сканированию уязвимостей).
Особенностью данного проекта был одновременный учет требований не только PCI DSS, но и Федерального закона «О персональных данных» № 152-ФЗ. За счет этого удалось избежать дублирования технических решений, что существенно сократило общий объем затрачиваемых ресурсов.
Выстраивание необходимых для успешной сертификации механизмов обеспечения информационной безопасности потребовало внедрения комплекса различных систем защиты информации, включая:
- внедрение системы мониторинга действий (аудит событий) пользователей баз данных;
- построение процесса обработки и реагирования на события информационной безопасности;
- внедрение системы обнаружения вторжений;
- внедрение централизованной системы аутентификации и аудита действий администраторов на коммуникационном оборудовании;
- модернизация системы межсетевого экранирования;
- построение процессов обнаружения уязвимостей и управления изменениями ИТ-инфраструктуры Банка.
«Этот проект позволил нам в полной мере применить накопленный опыт в области приведения платежных систем в соответствие требованиям PCI DSS, — комментирует Игорь Ляпунов, заместитель генерального директора по информационной безопасности компании «Инфосистемы Джет». — Благодаря этому и активному взаимодействию со специалистами Банка на всех этапах проекта — от проведения первоначального обследования до непосредственно сертификационного аудита нам удалось достичь результата всего за несколько месяцев».
Завершающим этапом проекта стало проведение сертификационного аудита QSA-аудиторами компании «Инфосистемы Джет». Результаты сертификационного аудита были приняты международными платёжными системами (VISA, MasterCard), и в октябре 2011 года Банком был получен сертификат соответствия стандарту PCI DSS 2.0.
«Получение сертификата PCI DSS мы расцениваем как свидетельство зрелости наших процессов обеспечения информационной безопасности, — комментирует Александр Николашин, Председатель Правления Банка. — Качественно выполненный компанией «Инфосистемы Джет» проект способствует повышению уровня доверия со стороны клиентов Банка и наших бизнес-партнеров, а также позволяет нам отвечать требованиям рынка в условиях постоянно растущей конкуренции в финансовом секторе».
