Действие стандарта распространяется на торгово-сервисные предприятия, банки, процессинговые центры, платежные шлюзы и иные организации, вовлеченные в процесс оплаты по картам. Соответствие этому стандарту является необходимым условием ведения бизнеса, связанного с карточными платежами. Правила подтверждения соответствия PCI DSS устанавливают международные платежные системы, наиболее известными из которых являются Visa и MasterCard.
Подразделение «Астерос Информационная безопасность» занимается подготовкой ряда банков к прохождению аудита на соответствие PCI DSS более 4-х лет. Компания сотрудничает с ведущей аудиторской компанией в сфере PCI DSS с международным QSA-аудитором Fort Consult A/S, (штаб-квартира расположена в Дании). «Астерос» — эксклюзивный партнер FC в СНГ и это партнерство позволяет компании облегчить процедуру сертификации PCI DSS для клиентов в СНГ, снизить их операционные риски и предоставить определенные юридические гарантии.
«Подобные тандемы сегодня не редкость, — продолжает Мотылев, — В качестве партнера «Астерос» не случайно выбрал известного европейского аудитора. Многие российские компании обладают международным статусом QSA-аудитора, но европейские коллеги пока обладают гораздо большим опытом».
Помимо защиты деловой репутации, основные выгоды от сертификации по стандарту PCI DSS, сводятся к следующим:
• получение права на внедрение дополнительных удобных сервисов от Visa и MasterCard для своих клиентов.
• смягчение неприятных последствий и разделение финансовой ответственности с QSA-аудитором при утечке данных или мошеннических операциях с помощью платежных карт. Такое право предоставляется обладателям сертификата PCI DSS при расследовании инцидентов нарушения систем безопасности. Банк или процессинговый центр, не имеющий сертификата PCI DSS, самостоятельно несет полную ответственность за произошедший инцидент в отличие от сертифицированной организации.
Как правило, компании уровня «Астерос ИБ» сотрудничают с банками в области прохождения сертификации на соответствие требованиям PCI DSS на долгосрочной основе. Ведь банк обязан ежегодно подтверждать свое право работать с международными платежными системами. Одно из таких партнерств было создано около трёх лет назад с банком «Петрокоммерц». В апреле 2013 года группа «Астерос» вновь отчиталась о подготовке «Петрокоммерц» к ежегодному аудиту PCI DSS. В результате проекта банк успешно прошел сертификацию и показал полное соответствие инфраструктуры процессингового центра мировым требованиям к безопасности данных индустрии платежных карт.
Для успешной ресертификации по итогам 2012 года специалисты «Астерос» помогли проанализировать нормативные и организационно-распорядительные документы, реализующие меры информационной безопасности. Совместно с экспертами компании-аудитора были обследованы существующая ИТ-инфраструктура банка и процессы обработки платежных карт. В результате банку были предоставлены рекомендации по совершенствованию системы обеспечения информационной безопасности. В течение последующего времени усилиями совместной проектной группы были устранены все недочеты и проведены процедуры сканирования уязвимости систем и тесты на проникновение.
По итогам предсертификационной подготовки, которая в целом длилась 9 месяцев, банк «Петрокоммерц» успешно прошел процедуру аудита на соответствие стандарту PCI DSS.
«Аудит PCI DSS — сложная и ответственная задача для любой организации, работающей на рынке платежных карт. Чтобы в актуальном состоянии поддерживать гетерогенную инфраструктуру, соответствующую международным требованиям по безопасности, необходимы значительные временные и финансовые ресурсы, а также пристальное внимание к проекту со стороны заказчика. Благодаря слаженному взаимодействию с сотрудниками банка нам удалось в запланированные сроки подготовить «Петрокоммерц» к аудиту», — комментирует Сергей Коношенко, технический директор «Астерос Информационная безопасность».