УФС успешно прошла аудит на соответствие требованиям стандарта PCI DSS

С 30 июня по 8 июля 2009 года в ЗАО «Украинская финансовая сеть» был проведен аудит на соответствие требованиям международного стандарта защиты информации в индустрии платежных карт - Payment Card Industry Data Security Standard (PCI DSS).

ЗАО «Украинская Финансовая Сеть»  является ТРР (Third Party Processor) в международной платежной системе Visa International, а также MSP (Member Service Provider) в международной платежной системе MasterCard. В связи с этим соответствие стандарту PCI DSS является обязательным требованием. Сертификационный аудит информационной системы на соответствие международному стандарту защиты информации в индустрии платежных карт PCI DSS позволяет оценить соответствие уровня защищенности информационной системы компании требованиям стандарта PCI DSS.

В ЗАО «Украинская финансовая сеть» аудит проводился американской компанией Cigital, Inc. (Даллас, штат Вирджиния), являющейся ведущей компанией в области безопасности программных средств и консалтинга по качеству.

Выполнение работ по сертификационному аудиту информационной системы на соответствие требованиям стандарта PCI DSS проходило в два этапа: анализ нормативно-распорядительной документации по информационной безопасности и анализ топологии сети, состава и характеристик аппаратных и программных средств передачи информации, а также проверка реализации методов защиты и их соответствие требованиям PCI DSS согласно процедурам аудита, насчитывающим более 230 проверок.

По итогам проверки аудиторами был отмечен высокий уровень документарной и технологической базы, а также высокий профессиональный уровень специалистов компании. Аудиторы подтвердили, что компания соответствует по всем пунктам требованиям стандарта безопасности PCI DSS.

Комплекс услуг по подготовке к сертификации по PCI DSS

Payment Card Industry Data Security Standard (Стандарт защиты информации в индустрии платежных карт) - это набор требований к обеспечению безопасности данных держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover.

Стандарт представляет собой перечень требований в отношении систем управления безопасностью, сетевой инфраструктуры, политик, процедур, разработки программного обеспечения и других мер защиты данных владельцев банковских карт. Требования, определенные в стандарте, предназначены для выполнения в первую очередь финансовыми учреждениями, торговыми фирмами и поставщиками услуг, которые хранят, передают или обрабатывают данные владельцев карт в ходе повседневной деятельности.

Наше решение

На сегодняшний день ЗАО «Украинская Финансовая Сеть»  - одна из первых украинских компаний, сертифицированных на соответствие стандарту защиты информации PCI DSS в индустрии платежных карт.

Компания ЗАО «УФС»  предлагает банкам комплексный проект, связанный с выполнением требований Стандарта безопасности данных индустрии платежных карт Payment Card Industry Data Security Standard версии 1.2.

В рамках проведения проекта реализуется ряд последовательных этапов:

1. Разработка комплекта документов по информационной безопасности, в соответствии с требованиями PCI DSS (более 50 документов).
2. Разработка и совершенствование схемы корпоративной сети, принципов сегментации и разделения информационных потоков.
3. Разработка и настройка конфигурации межсетевых экранов.
4. Разработка мер защиты данных платежных карт при хранении и при передаче по сетям общего пользования.
5. Разработка программы управления уязвимостями.
6. Разработка мер по обеспечению безопасности при разработке и поддержке систем и приложений.
7. Разработка мер контроля доступа к данным платежных карт.
8. Приведение в соответствие с требованиями стандарта PCI DSS:
   • нормативно-распорядительной документации по информационной безопасности (политик, регламентов и инструкций);
   • топологии сети, информационных потоков данных платежных карт;
   • принципов обработки критичной информации в информационной системе;
   • аппаратных и программных средств передачи информации.
9. Консультационные услуги по внедрению новых или доработке существующих компонентов информационной системы с целью соответствия требованиям стандарта PCI DSS.
   

09/07/2009