Банк ЗЕНИТ имеет собственный процессинговый центр для обработки транзакций по международным платежным картам. Одной из важнейших задач Банка является обеспечение сохранности данных пользователей, особое внимание уделяется вопросам защищенности технологических операций и процессам управления информационной безопасностью (ИБ). Оказываемая Банком процессинговая поддержка держателей карт и банков-партнеров должна осуществляться в строгом соответствии с требованиями ИБ, предъявляемыми международными платежными системами, в том числе требованиями стандарта PCI DSS.
Исполнителем проекта по модернизации системы ИБ в соответствии с требованиями стандарта PCI DSS была выбрана компания «Инфосистемы Джет». Компания уже несколько лет успешно реализует подобные проекты и обладает статусами Approved Scanning Vendors (ASV) и Qualified Security Assessor (QSA), что позволяет ей оказывать весь комплекс услуг в области защиты платежных систем.
Проект длился в течение одного года и включил в себя несколько этапов. Первоначально специалисты интегратора выполнили обследование инфраструктуры Банка, дали оценку соответствия требованиям стандарта и составили рекомендации по выполнению этих требований, а также детальный план мероприятий по подготовке к сертификации.
Наиболее масштабный и длительный – второй этап проекта, в ходе которого было выбрано техническое решение, внедрены комплексы защиты платежной системы, разработан пакет организационной документации и запущены процессы обеспечения ИБ, требуемые стандартом. Для проверки надежности внедренных средств защиты информации проведено сканирование и тестирование на возможность проникновения в систему.
Завершающим этапом стало проведение специалистами компании «Инфосистемы Джет» сертификационного аудита. Полученный Банком ЗЕНИТ по его результатам сертификат является подтверждением качества совместно проделанной работы. Отчет о результатах аудита был направлен в VISA и MasterCard, которые подтвердили статус соответствия Банка ЗЕНИТ международному стандарту PCI DSS.
«Особенностью данного проекта был одновременный учет требований не только PCI DSS, но и ФЗ № 152 «О персональных данных» и СТО БР ИББС, - рассказывает Евгений Акимов, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет». - За счет этого удалось избежать дублирования схожих технических и организационных решений, что существенно сократило общий объем затрачиваемых ресурсов для выполнения нормативных требований. К настоящему времени Банк подтвердил соответствие требованиям международного стандарта PCI DSS, в дальнейшем планируется завершение аналогичных работ, связанных с отечественной законодательной базой».
Редактор раздела: Юрий Мальцев (maltsev@mskit.ru)
Рубрики: Безопасность