«Информзащита» сертифицировала «БПЦ Банковские технологии» на соответствие PCI DSS
В область аудита вошли все сетевые устройства Процессингового центра БПЦ, серверы и приложения, подключенные к среде обработки данных платежных карт. В ходе проекта, который длился несколько месяцев, специалисты «Информзащиты» сформировали дополнительные требования к инфраструктуре и процессам ИБ, предложили изменения внутренней нормативной документации и провели необходимые сканирования и тесты на проникновение. Выполнение всех рекомендаций позволило «БПЦ Банковские технологии» повысить общий уровень защищенности информационных систем процессингового центра, а QSA-аудит, ставший завершающим этапом сертификации, подтвердил соответствие международным стандартам платежной индустрии.
«Поскольку уровень зрелости безопасности инфраструктуры в БПЦ достаточно высок, мы выполнили проект в сжатые сроки, – комментирует Алексей Бочкарев, руководитель направления отдела безопасности банковских систем компании «Информзащита». – В ближайшее время мы продолжим проект по переводу БПЦ на новую версию стандарта PCI DSS v3.0. При этом в основу проекта ляжет новый подход по поддержанию комплаенса PCI DSS в перерыве между сертификациями, благодаря чему точность сертификационных проверок повысится, а время прохождения итогового аудита значительно сократится».
Алексей уточнил, что такой подход возможен за счет реализации согласованного плана проведения регулярных проверок в течение всего года, а не только в момент аудита. Такая схема позволит своевременно отслеживать и устранять отклонения процессов ИБ и ИТ от новых требований стандарта. «Кроме того, мы сможем подойти к сертификационному аудиту с уже собранным багажом свидетельств выполнения большей части требований, что значительно снизит нагрузку на сотрудников заказчика» – заключил он.
Сергей Терешин, директор процессингового центра «БПЦ Банковские технологии», высоко оценил профессионализм сотрудников «Информзащиты» при выполнении проекта:
«Рекомендации аудиторов позволили своевременно решить нестандартные задачи, поставленные в рамках проекта. Успешное прохождение сертификации позволило нашей компании подтвердить надежность и эффективность применяемых защитных мер и процессов управления информационной безопасностью, направленных на предотвращение несанкционированного доступа к данным держателей платежных карт».
«Поскольку уровень зрелости безопасности инфраструктуры в БПЦ достаточно высок, мы выполнили проект в сжатые сроки, – комментирует Алексей Бочкарев, руководитель направления отдела безопасности банковских систем компании «Информзащита». – В ближайшее время мы продолжим проект по переводу БПЦ на новую версию стандарта PCI DSS v3.0. При этом в основу проекта ляжет новый подход по поддержанию комплаенса PCI DSS в перерыве между сертификациями, благодаря чему точность сертификационных проверок повысится, а время прохождения итогового аудита значительно сократится».
Алексей уточнил, что такой подход возможен за счет реализации согласованного плана проведения регулярных проверок в течение всего года, а не только в момент аудита. Такая схема позволит своевременно отслеживать и устранять отклонения процессов ИБ и ИТ от новых требований стандарта. «Кроме того, мы сможем подойти к сертификационному аудиту с уже собранным багажом свидетельств выполнения большей части требований, что значительно снизит нагрузку на сотрудников заказчика» – заключил он.
Сергей Терешин, директор процессингового центра «БПЦ Банковские технологии», высоко оценил профессионализм сотрудников «Информзащиты» при выполнении проекта:
«Рекомендации аудиторов позволили своевременно решить нестандартные задачи, поставленные в рамках проекта. Успешное прохождение сертификации позволило нашей компании подтвердить надежность и эффективность применяемых защитных мер и процессов управления информационной безопасностью, направленных на предотвращение несанкционированного доступа к данным держателей платежных карт».