Для противодействия всяческого рода мошеннической деятельности применительно к операциям с кредитными картами в 2004 году международные платежные системы разработали стандарт PCI DSS, направленный против как внешних, так и внутренних угроз в отношении всего, что связано с процессом обслуживания платежей по пластиковым картам. При достижении определенного объема операций его требования являются обязательными для банка или процессингового центра. Некоторые платежные системы, например MasterCard, в качестве положительного стимула снимают с компаний, имеющих сертификаты PCI DSS, штрафные санкции, наложенные в случае инцидента, связанного с компрометацией карт. Так что многие российские компании задумались о прохождении сертификации на соответствие этому стандарту.

Однако о том, чтобы процесс сертификации был доведен до логического конца, пока приходится слышать довольно редко. И в числе первых положительных примеров успешного прохождения данной процедуры — получение сертификата одним из крупнейших в России процессинговых центров — «Компанией объединенных кредитных карточек» (UCS).

Три задачи

«Соответствие PCI DSS — это не только выполнение требований программ международных платежных систем Visa International и MasterCard WorldWide по защите персональной информации держателей карт, но и ответ на все более настойчивые запросы наших клиентов, — говорит генеральный директор UCS Владимир Комлев. — Этот запрос в настоящее время стал актуален особенно для крупных зарубежных торгово‑сервисных предприятий и банков, обслуживаемых нашим процессинговым центром, которые все более активно работают в России: Auchan, IKEA, METRO, H&M. Российские представительства данных компаний уже внедрили у себя этот стандарт и требуют того же от российских банков и процессинговых центров, которые их обслуживают, в том числе и от нас. Мы обслуживаем более 80 банков, и для взаимодействия с ними соответствие нормам PCI DSS также носит принципиальный характер. Кроме того, нам самим необходимо было оценить, насколько защищена наша инфраструктура. Причем, для повышения объективности картины, это должна делать солидная внешняя организация».

Исполнителем работ по проекту была выбрана компания «Инфосистемы Джет». В ее пользу было наличие всех сертификатов, необходимых для проведения аудита. Кроме того, этот интегратор оказался готов нести материальную ответственность в случае возникновения инцидента, произошедшего по его вине.

Главной целью проекта стало не только получение сертификата, но и обеспечение фактической защищенности процессинговой деятельности UCS. В свою очередь, это потребовало, помимо выполнения формальных требований стандарта, решения трех важных задач:

  • обеспечение непрерывности деятельности процессингового центра;
  • обеспечение защищенности данных о держателях карт, сведений о транзакциях и проведенных финансовых операциях;
  • создание системы управления инцидентами, которая бы отслеживала все потенциально опасные действия и уязвимости.

Работы по сертификации

Работы по проекту были разделены на три этапа. На первом провели первичный аудит на соответствие нормам PCI DSS. Для этого пришлось проанализировать все бизнес-процессы UCS, так или иначе связанные с защищаемыми данными. Также был проведен глубокий анализ рисков, в том числе с оценками возможного финансового ущерба. И на основе этих данных был сформирован план мероприятий по устранению выявленных несоответствий нормам стандарта.

На втором этапе специалистами компании «Инфосистемы Джет» были проведены работы по устранению уязвимостей, выявленных на первом этапе, и внедрению необходимых защитных механизмов. Он разделялся на две составляющие: организационную и технологическую. Организационная составляющая состояла в выстраивании процессов управления информационной безопасностью, механизмов внутреннего контроля работы с защищаемой информацией на всех этапах ее обработки и хранения, анализа и управления рисками. Технологическая часть состояла в разработке и внедрении программно-аппаратных комплексов защиты информации:

  • средств защиты периметра процессингового центра;
  • мониторинга и анализа инцидентов, связанных с ИБ;
  • контроля целостности информации на всех этапах ее обработки и хранения;
  • средств контроля доступа к информации, авторизации и идентификации пользователей.

На заключительном этапе проекта был проведен финальный сертификационный аудит с целью подтверждения соответствия всем требованиям PCI DSS.

***

Итоги работ, занявших восемь месяцев, Владимир Комлев подвел следующим образом: «Процесс аудита был непростым и довольно дорогостоящим. Но он того стоил. То, что раньше казалось нам простым и защищенным, по результатам аудита оказалось не таким уж простым и не настолько защищенным, как мы первоначально думали. Многое пришлось доделывать, переделывать и исправлять. Но все равно успокаиваться рано. По мере развития нашей процессинговой системы нам придется заново проходить весь аудит. Кроме того, требования PCI DSS требуют повторного аудита через определенные промежутки времени. Однако мы получили методику приведения нашей системы нормам, и это главный итог проекта».