Банк «Возрождение», персональный банк для корпоративных и частных клиентов, основан в апреле 1991-го года (Генеральная лицензия ЦБ РФ № 1439 от 24-го марта 2003-го года). По данным ЦБ РФ, входит в ТОП-30 крупнейших российских банков. Филиальная сеть банка насчитывает 151 офис и 817 банкоматов в 21-м регионе России. Банк обслуживает свыше 1,6 млн частных лиц и 62,6 тыс. корпоративных клиентов, предлагая широкий спектр услуг, который включает ведение сберегательных счетов, расчетные операции, зарплатные проекты, кредитование юридических и физических лиц, в том числе предоставление ипотечных кредитов, обслуживание банковских карт. Подробнее на www.vbank.ru.
Задача
Работы по приведению среды обработки данных платежных карт банка к соответствию требованиям стандарта PCI DSS были разделены на четыре этапа:
- предварительный аудит на соответствие требованиям стандарта;
- составления перечня мер, принятие которых необходимо для соответствия стандарту;
- консультация специалистов банка по вопросам выстраивания процессов обработки;
- сертификационный аудит на соответствие требованиям стандарта.
Потребности бизнеса
Банк «Возрождение» (ОАО) осуществляет выпуск и обслуживание карт платежных систем Visa и MasterCard, предоставляет услуги торгового эквайринга по картам указанных платежных систем. За 2012-й год число активных держателей платежных карт, выданных банков, превысило 1,4 млн. По требованиям платежных систем, организации, выполняющие обработку и хранение данных платежных карт, обязаны ежегодно подтверждать соответствие стандарту безопасности PCI DSS. Как и ранее исполнителем проекта, обладающим статусом QSA и имеющим право проводить проверку соответствия требованиям стандарта, стала компания «Информзащита».
Решение
В соответствие с разработанным планом были проверены процессы обеспечения безопасности данных платежных карт и сформирован подробный перечень работ по процессам, требующим коррекции. После совместного с Банком устранения недочетов был проведен сертификационный аудит, который охватил следующие процессы и процедуры обеспечения ИБ:
- актуализация организационно-распорядительной документации в области ИБ;
- управление правилами доступа и конфигурациями МСЭ и сетевого оборудования;
- управление конфигурациями ОС, СУБД и прикладного программного обеспечения;
- управление жизненным циклом данных платежных карт;
- управление жизненным циклом ключей шифрования данных платежных карт;
- управление уязвимостями, включая процедуры инструментального анализа защищенности;
- разработка прикладного программного обеспечения;
- управление доступом к информационным системам;
- инвентаризация носителей с данными карт;
- контроль несанкционированных беспроводных точек доступа;
- ежегодный анализ рисков;
- повышение осведомленности сотрудников в вопросах ИБ;
- мониторинг событий и реагирование на инциденты информационной безопасности.
Специалистами компании «Информзащита» были осуществлены:
- консультации по вопросам применения стандарта PCI DSS и реализации требуемых защитных мер;
- подбор компенсационных мер в случаях, когда выполнение исходного требования стандарта нецелесообразно или технически невозможно;
- проверка дорабатываемой/разрабатываемой документации, регламентирующей вопросы информационной безопасности;
- контроль хода работ, оперативное выявление проблем при реализации плана, его корректировка при необходимости.
Результат
Успешное прохождение сертификационного аудита подтвердило соответствие процессов обеспечения безопасности на всех этапах обработки данных платежных карт требованиям международных платежных систем.