Распечатать

Сертификация PCI DSS -залог доверия клиентов

Национальный банковский журнал NBJ, 26.09.2012 г. - В рекордно короткие сроки, всего за 6 месяцев, ЗАО «Транскапитал-банк» (ТКБ) реализовал проект по получению сертификата соответствия требованиям PCI DSS. О том, каких усилий это потребовало от команды банка и какую роль сыграло сотрудничество с «Энвижн Груп», рассказывает директор департамента информационной безопасности ТКБ Петр КУРИЛО.

27 сентября 2012

Национальный банковский журнал NBJ, 26.09.2012 г.

В рекордно короткие сроки, всего за 6 месяцев, ЗАО «Транскапитал-банк» (ТКБ) реализовал проект по получению сертификата соответствия требованиям PCI DSS. О том, каких усилий это потребовало от команды банка и какую роль сыграло сотрудничество с «Энвижн Груп», рассказывает директор департамента информационной безопасности ТКБ Петр КУРИЛО.

НБЖ: Петр, что послужило отправной точкой для запуска проекта по сертификации PCI DSS?

П. КУРИЛО: На текущий момент банк ведет интенсивную работу над крупными проектами в сфере карточного бизнеса. Для обеспечения надлежащего уровня безопасности платежных карт и расширения возможностей их использования нам потребовалось получить сертификат соответствия требованиям PCI DSS.

НБЖ: Какими критериями вы руководствовались при выборе подрядчика по реализации проекта?

П. КУРИЛО: Прежде всего мы оценивали опыт и компетентность подрядчика, внимание к нашим потребностям и умение найти нестандартный подход к решению тех или иных задач. Выбор исполнителя определил конкурс, по результатам которого было принято решение доверить аудит и сертификацию компании «Энвижн Груп».

НБЖ: Насколько банк был готов к прохождению аудита по требованиям PCI DSS?

П. КУРИЛО: По современным меркам наш процессинг довольно «молодой», поэтому мы очень плотно занимаемся совершенствованием его функционала. Особое внимание уделяется вопросам безопасности и применению мер, необходимых для защиты платежных карт. Наши информационные системы изначально соответствовали требованиям международных стандартов, нам просто нужно было навести определенный порядок в системе и расставить приоритеты. По опыту могу сказать, что обеспечение формальных требований соответствия - довольно непростая задача.

НБЖ: С какими трудностями вы столкнулись при реализации проекта?

П. КУРИЛО: Под требования PCI DSS подпадают нормативные и организационные меры, а также вопросы, касающиеся технических средств защиты. Для этого нужно было разработать специфические решения для мониторинга и корреляции событий, обнаружения и предотвращения вторжений, контроля несанкционированных изменений и пр. Внедрение каждого из перечисленных решений само по себе является отдельным масштабным проектом. Мы успешно преодолели ряд трудностей благодаря совместным усилиям наших сотрудников и команды подрядчика.

НБЖ: В какие сроки был реализован проект?

П. КУРИЛО: Перед нами стояла задача: получить сертификат соответствия требованиям PCI DSS за год. Благодаря слаженной командной работе мы уложились в беспрецедентно короткий срок - 6 месяцев. Отдаем должное профессионализму коллег из «Энвижн Груп».

НБЖ: Как вы расцениваете преимущества и выгоды, полученные в результате успешной реализации проекта?

П. КУРИЛО: Сейчас соответствие требованиям PCI DSS является необходимым условием реализации большинства проектов по развитию карточного бизнеса. Наиболее очевидное следствие сертификации по этому стандарту - повышение уровня безопасности данных платежных карт, что, безусловно, благотворно сказывается на доверии клиентов к банку.

В действительности мы получили значительно больше: у нас появился ряд средств защиты и управления, с помощью которых мы решаем задачи, выходящие за рамки PCI DSS. Например, система управления технической защищенностью ИТ-инфраструктуры.

НБЖ: В заключение поделитесь впечатлением от работы подрядчика.

П. КУРИЛО: Мы очень довольны сотрудничеством. На протяжении всего проекта коллеги работали исключительно в интересах банка, учитывали нашу специфику и оказывали помощь даже в тех случаях, когда вопросы выходили за рамки договорных отношений.