Банк «Санкт-Петербург» — один из крупнейших региональных банков России, основанный в 1990-м году. На сегодняшний день Банк предоставляет более 600 видов финансовых услуг и осуществляет свою деятельность на территории Санкт-Петербурга, Ленинградской области, Москвы, Калининграда и Нижнего Новгорода. Приоритетными направлениями деятельности Банка являются кредитование, расчетно-кассовое обслуживание, обслуживание юридических и физических лиц, операции на валютном рынке, рынке межбанковских кредитов, операции с ценными бумагами.
Дополнительная информация доступна на http://www.bspb.ru
Потребности бизнеса
ОАО Банк «Санкт-Петербург» осуществляет выпуск и обслуживание карт платежных систем Visa и MasterCard, предоставляет услуги торгового эквайринга по картам указанных платежных систем. По требованиям платежных систем, организации, выполняющие обработку и хранение данных платежных карт, обязаны соответствовать стандарту безопасности PCI DSS.
В 2011-м году сотрудничество Банка «Санкт-Петербург» и компании «Информзащита» получило новый импульс и развитие в связи с открытием Банком нового современного 20-этажного офиса, в который были переведены процессинговые службы.
Задачи
В рамках проекта перед специалистами компании «Информзащита» стояли следующие задачи:
- проведение предварительного аудита на соответствие требованиям стандарта PCI DSS;
- составление плана мероприятий по приведению среды обработки данных платежных карт к соответствию требованиям стандарта;
- консультация специалистов Банка по выполнению стандарта и по выстраиванию процессов обработки;
- сертификационный аудит на соответствие требованиям стандарта.
Решение
На начальном этапе был сформирован подробный план работ. Его реализация предусматривала построение процессов обеспечения безопасности на всех этапах обработки данных платежных карт, ограничение области применения стандарта за счет изоляции и сегментации среды обработки пластиковых карт от остальных информационных систем Банка.
Специалистами «Информзащиты» были обеспечены:
- консультации по вопросам применения стандарта PCI DSS и реализации требуемых защитных мер;
- подбор компенсационных мер в случаях, когда выполнение исходного требования стандарта нецелесообразно или технически невозможно;
- проверка дорабатываемой/разрабатываемой документации, регламентирующей вопросы информационной безопасности;
- периодический контроль хода работ плана, оперативное выявление проблем с его реализацией, его корректировку при необходимости.
Результат
После того, как все работы плана были выполнены, в декабре 2011-го были проведены сертификационные аудиты, в результате которых подтвердилось соответствие Банка требованиям стандарта PCI DSS.