Компания «БПЦ Банковские технологии» является ведущим поставщиком платежных решений для мировой финансовой индустрии. Компания известна, прежде всего, как разработчик и дистрибьютор семейства продуктов SmartVista, созданного на базе собственной инновационной платформы. Этот комплексный набор программных решений охватывает все аспекты обработки электронных платежей. Среди заказчиков БПЦ – ведущие международные финансовые организации пяти континентов. Подразделения БПЦ действуют в Азиатско-Тихоокеанском регионе, Центральной, Восточной и Западной Европе, в Африке и странах Персидского залива, Центральной и Южной Америке и в США.
Потребности бизнеса
- приведение в соответствие PCI DSS нового направления бизнеса компании – предоставление процессинговых услуг по выпуску карт и обслуживанию карточных операций для банков;
- актуализация области действия стандарта с учетом организационных изменений, изменений в процессах управления ИТ и ИБ;
- инструментальная оценка защищенности среды ДПК от внешних и внутренних угроз.
Задачи
В рамках проекта перед специалистами компании «Информзащита» стояли следующие задачи:
- предварительный анализ проектного решения процессингового центра Заказчика и формирование требований к инфраструктуре и процессам в соответствии с PCI DSS;
- контроль реализации сформированных требований, разработка/доработка нормативной документации, консультирование Заказчика по вопросам выполнения PCI DSS 2.0 и выбору средств защиты;
- комплексное (внешнее и внутреннее) тестирование на проникновение среды обработки данных платежных карт;
- сертификационный аудит, подтверждающий соответствие Заказчика требованиям стандарта PCI DSS.
Решение
В область аудита вошли все сетевые устройства Процессингового центра БПЦ, серверы и приложения, подключенные к среде обработки данных платежных карт. Специалистами «Информзащиты» были сформированы дополнительные требования к инфраструктуре и процессам ИБ, предложены изменения внутренней нормативной документации и проведены необходимые сканирования и тесты на проникновение. Завершающим этапом стал QSA-аудит, подтвердивший соответствие международным стандартам платежной индустрии.
Работы в рамках проекта велись в соответствии с ведущими мировыми практиками в области ИБ.
Результат
Ключевые результаты проекта:
- Выполнение требований стандарта PCI DSS, что позволило, в том числе, избежать возможные штрафные санкции;
- Снижение рисков возникновения инцидентов, связанных с ИБ, в том числе рисков возможной компрометации данных платежных карт;
- Возможность развития бизнеса;
- Повышение общего уровня защищенности информационных систем процессингового центра;
- Повышение уровня осведомленности сотрудников компании в вопросах информационной безопасности.
Кроме того, по результатам проекта было принято решение по переводу БПЦ на новую версию стандарта PCI DSS v3.0 с поддержанием комплаенса PCI DSS в течение периода между сертификациями с «автоматической» пролонгацией статуса соответствия PCI DSS. Такой подход обеспечил высокую точность сертификационных проверок и позволил сократить время прохождения итогового аудита.