Достижение соответствия требованиям стандарта PCI DSS ООО «В Контакте»

Заказчик:

ООО «В Контакте»

Задачи:

В рамках проекта перед компанией «Информзащита» стояла задача содействия в создании сервиса, позволяющего принимать к оплате платежные карты без повторного ввода данных для проведения платежа, в соответствии с международным стандартом безопасности в индустрии платежных карт PCI DSS. Далее, задачи включали проведение сертификационного аудита на соответствие требованиям стандарта PCI DSS.

Потребности бизнеса:

1. Необходимость приема к оплате платежных карт в удобной для клиентов форме;

2. Необходимость дополнительной защиты данных платежных карт клиентов в условиях роста уровня мошенничества по пластиковым картам в мире;

3. Обязательное требование эквайера по приведению в соответствие со стандартом PCI DSS.

Представители ООО «В контакте» решили сконцентрировать усилия и обеспечить выполнение требований стандарта PCI DSS.

Решение:

В июне 2010-го года был разработан детальный план работ по достижению соответствия требованиям стандарта PCI DSS. Для реализации плана и проведения последующего сертификационного аудита была привлечена компания «Информзащита», обладающая необходимыми статусами QSA, ASV.

Результат:

20-го апреля 2011-го года компания «Информзащита» завершила проект по подготовке и проведению сертификационного аудита ООО «В Контакте» на соответствие требованиям PCI DSS. По результатам выполненного проекта ООО «В Контакте» был получен сертификат соответствия требованиям стандарта PCI DSS.

«Деятельность специалистов «В Контакте» сводится к тому, чтобы сделать пребывание пользователей на сайте максимально комфортным и безопасным. Получив сертификат соответствия PCI DSS, мы решили две задачи: при совершении очередной покупки участники социальной сети не вводят код повторно, и в то же время они могут не беспокоиться о безопасности «шоппинга» в социальной сети «В Контакте», — говорит заместитель генерального директора «В Контакте» Илья Перекопский.

Описание решения:

Проект включал в себя три основных этапа, реализация потребовала 11 месяцев. По результатам уточнения текущего состояния на начальном этапе специалисты компании «Информзащита» разработали план, включавший более 50 работ различного рода. На втором этапе специалисты ООО «В Контакте» совместно со специалистами компании «Информзащита» провели комплекс необходимых работ по минимизации области действия стандарта, защите ресурсов, внедрению новых технических решений, совершенствованию регламентов и процедур, реализации необходимых мер защиты и процессов обеспечения информационной безопасности. В рамках выполнения плана была проведена инструментальная оценка защищенности среды обработки данных платежных карт, включая сканирование публично доступных узлов сети и тестирование возможности получения несанкционированного доступа к данным платежных карт. В апреле 2011-го года был проведен сертификационный аудит, по результатам которого в июле ООО «В Контакте» заслуженно был вручен сертификат соответствия PCI DSS Compliance.

По словам Максима Эмма, директора Департамента Аудита компании «Информзащита»: «Мы искренне надеемся, что наше участие в данном проекте позволило расширить спектр сервисов, предлагаемых социальной сетью «В контакте», а также позволило увеличить уровень защиты от различных видов мошенничества, связанного с пластиковыми картами».

Справка:

Payment Card Industry Data Security Standard (Стандарт защиты информации в индустрии платежных карт) — это набор требований к безопасности данных держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover. Цель разработки стандарта PCI DSS — повысить защищенность электронных торговых и платежных систем.