Компании «МультиКарта» и «Инфосистемы Джет» завершили проект по сертификации на соответствие стандарту PCI DSS

Компании «МультиКарта» и «Инфосистемы Джет» сообщают о завершении проекта по приведению процессингового центра «МультиКарта» в соответствие с требованиями международного стандарта по защите информации в индустрии платежных карт PCI DSS 2.0.



«МультиКарта» ─ одна из крупнейших российских процессинговых компаний, обеспечивающая полный комплекс процессинговых услуг для банков и торгово-сервисных предприятий. Данные держателей банковских карт должны быть надежно защищены, поэтому компания ведет непрерывную работу по совершенствованию процессов обеспечения информационной безопасности.

Перед «МультиКарта» стояла задача о приведении процессингового центра в полное соответствие с требованиями PCI DSS 2.0, для реализации которой было принято решение о привлечении внешнего консультанта.

«С компанией "Инфосистемы Джет" мы сотрудничаем с 2008 года, когда в связи с ростом бизнеса нам потребовалась модернизация сетевой и серверной инфраструктуры, ─ комментирует Михаил Федоров, директор по информационной безопасности компании "МультиКарта". ─ Компания досконально знала особенности нашей инфраструктуры, владела спецификой нашего бизнеса и, кроме того, вела работы по направлению PCI DSS в ряде российских банков и процессинговых компаний. Это стало определяющим фактором при выборе подрядчика».

Компания «Инфосистемы Джет» является сертифицированным аудитором (статусы Approved Scanning Vendors (ASV) и Qualified Security Assessor (QSA)), что позволяет осуществлять подготовку и проведение аудитов организаций, оперирующих с данными платежных карт, на соответствие требованиям PCI DSS.

От исполнителя проекта требовалось понимание сложности ИТ-инфраструктуры компании «МультиКарта», включающей более 60 серверов, расположенных на двух площадках в г. Москве и г. Санкт-Петербурге. Кроме того, необходимо было учитывать строгие ограничения, связанные с обеспечением непрерывности бизнеса, а также параллельно проводимые работы по внедрению и миграции на новую процессинговую систему.

Проект состоял из нескольких этапов. На первом этапе специалисты компании «Инфосистемы Джет» провели комплексное обследование архитектуры и взаимодействия всех системных компонентов, входящих в состав процессинговой системы. Были определены границы области действия стандарта и разработан подробный план приведения в соответствие с требованиями стандарта. При этом план разрабатывался как для действующей, так и для новой процессинговой системы в соответствии с планом миграции.

«На этом этапе важно определить область предстоящей сертификации ─ системы, осуществляющие обработку и хранение данных платежных карт, для которых необходимо обеспечить соответствие всем требованиям PCI DSS, ─ комментирует заместитель директора Центра информационной безопасности компании "Инфосистемы Джет" Евгений Акимов. ─ Совместно со специалистами компании "МультиКарта" мы составили подробный план работ по приведению в соответствие, включающий комплекс необходимых организационных мероприятий, внедрение новых технических решений и модернизацию. На всех этапах проекта руководство и сотрудники "МультиКарта" были готовы идти на открытый диалог, мы обсуждали проектные вопросы и принимали совместные обоснованные решения».

Наиболее трудоемкий – второй этап проекта, связанный с непосредственным внедрением соответствующих мер обеспечения безопасности (процедур и технических средств). Одновременно с проводимыми специалистами компании «Инфосистемы Джет» работами компания «МультиКарта» внедряла новую процессинговую систему, расширяла спектр услуг и подключала новые банки. Это требовало от интегратора непрерывного анализа ситуации и оперативного внесения корректировок в реализуемые решения. Выполнение части требований стандарта взяла на себя компания «МультиКарта». В частности, специалисты компании вносили изменения в конфигурации функционирующих систем, дорабатывали внутренние регламенты и процедуры.
Третий этап проекта – проведение аудита на соответствие требованиям стандарта PCI DSS. Отдельная команда аудиторов компании «Инфосистемы Джет» провела процедуру сертификационного аудита. Проводилась проверка систем, осуществляющих обработку и хранение данных платежных карт, регламентирующих документов и процедур, конфигураций используемых средств защиты. По результатам составлено заключение о полном соответствии процессингового центра «МультиКарта» требованиям PCI DSS.
Результаты проведенного аудита были приняты международными платежными системами. Компания «МультиКарта» получила сертификат соответствия требованиям стандарта PCI DSS 2.0.
«Мы всегда стремимся обеспечивать высокий уровень оказываемых услуг и предпринимаем шаги по их совершенствованию и поддержке. Выполнение требований PCI DSS свидетельствует о безопасности карточных данных наших клиентов и высоком уровне обеспечения информационной безопасности в нашей компании в целом», – подчеркивает Михаил Федоров.