Распечатать  К списку проектов

Подготовка и аудит «Транскапиталбанка» на соответствие требованиям PCI DSS

Транскапиталбанк

ЗАО «Транскапиталбанк» (ТКБ) – российский банк с развитой региональной сетью, включающей 76 офисов в 19 субъектах Российской Федерации.

ТКБ работает с 1992 года и осуществляет все основные виды банковских операций, представленных на рынке финансовых услуг: работа с частными и корпоративными клиентами, инвестиционный бизнес, торговое финансирование, управление активами, выпуск и обслуживание банковских карт. По величине активов и размеру собственного капитала «Транскапиталбанк» уверенно входит в число 50 крупнейших финансовых учреждений страны.

Стратегическими направлениями деятельности организации являются активное кредитование и обслуживание предприятий малого и среднего бизнеса, а также предоставление полного спектра банковских услуг физическим лицам.

www.transcapital.com

Отрасль:
Финансовая отрасль
Направление:
Комплексные системы безопасности

Цель и задачи проекта

Банк ведет интенсивную работу над крупными проектами в сфере платежных карт. Для обеспечения надлежащего уровня безопасности и расширения возможностей их использования необходимо было получить сертификат соответствия требованиям PCI DSS.

По современным меркам процессинг ТКБ довольно «молодой», поэтому сотрудники банка очень плотно занимаются совершенствованием его функционала. Особое внимание уделяется вопросам безопасности и применению мер, необходимых для защиты платежных карт. Информационные системы банка изначально соответствовали международным стандартам, но нужно было навести определенный порядок и расставить приоритеты, обеспечить выполнение формальных требований, что без помощи подрядчика является довольно непростой задачей.

Клиент о проекте

«При выборе подрядчика мы, прежде всего, оценивали его опыт и компетентность, внимание к нашим потребностям и умение найти нестандартный подход к решению тех или иных задач. Выбор исполнителя определил конкурс, по результатам которого было принято решение доверить аудит и сертификацию компании «Энвижн Груп». Мы очень довольны этим сотрудничеством. На протяжении всего проекта коллеги работали исключительно в интересах банка, учитывали нашу специфику и оказывали помощь даже в тех случаях, когда вопросы выходили за рамки договорных отношений».

Петр Курило, директор департамента информационной безопасности «Транскапиталбанка».

Решение

Под требования PCI DSS подпадают нормативные и организационные меры, а также вопросы, касающиеся технических средств защиты.

Специалистами компании «Энвижн Груп» был проведен весь комплекс работ, необходимых для получения сертификата соответствия стандарту платежных систем:

  1. Предварительный аудит – определена область применимости PCI DSS и, следовательно, аудита; получена информация об инфраструктуре банка; проведен GAP-анализ выполнения требований стандарта, результаты задокументированы.
  2. Приведение ИС в соответствие с нормативами PCI DSS – оптимизация области применения, составление плана и устранение расхождений со стандартом, контроль устранения несоответствий.На данном этапе специалистами «Энвижн Груп» разрабатывался и адаптировался ряд документов по безопасности, осуществлялась помощь при проектировании и внедрении процессов обеспечения ИБ, при принятии технических и организационных мер защиты.
  3. Сертификационный аудит – подтверждение выполнения всех требований, оформление финального отчета и другой необходимой документации для отправки в международные платежные системы (МПС).

Результат

Сейчас соответствие требованиям PCI DSS является необходимым условием реализации большинства проектов по развитию в сфере платежных карт. Наиболее очевидное следствие сертификации по этому стандарту – повышение уровня безопасности данных, что благотворно сказывается на доверии клиентов к банку. Помимо этого, у банка появились специфические решения для мониторинга и корреляции событий, обнаружения и предотвращения вторжений, контроля несанкционированных изменений и пр. А также ряд средств защиты и управления, с помощью которых можно решать задачи, выходящие за рамки PCI DSS. Например, система управления технической защищенностью ИТ-инфраструктуры.

Перед специалистами «Энвижн Груп» стояла задача обеспечить получение сертификата соответствия требованиям PCI DSS за 1 год, но благодаря слаженной командной работе сотрудников «Энвижн Груп» и банка удалось уложиться в беспрецедентно короткий срок – 6 месяцев.