«Информзащита» подтвердила соответствие Visa Qiwi Wallet требованиям PCI DSS 3.1
Компания «Информзащита» подтвердила соответствие электронного кошелька Visa Qiwi Wallet требованиям новой версии стандарта PCI DSS 3.1, продлив выданный ранее сертификат еще на один год. Как сообщили CNews в «Информзащите», прохождение сертификации в очередной раз доказало должный уровень защиты данных пользователей Visa Qiwi Wallet, а также надежность мер обеспечения и управления информационной безопасностью платежного сервиса.
По данным группы Qiwi, на июль 2015 г. количество активных аккаунтов Visa Qiwi Wallet превысило 17,3 млн, а количество транзакций по картам ежегодно увеличивается в разы. Требования к безопасности электронных платежей таких сервис-провайдеров ежегодно обновляются и становятся все жестче, поэтому ежегодная сертификация на соответствие требованиям PCI DSS является необходимым условием функционирования сервиса.
В 2014 г. «Информзащита» сертифицировала Visa Qiwi Wallet на соответствие стандарту PCI DSS 3.0. Тогда специалисты провели аудит, состоящий из четырех этапов: оценка систем заказчика, ASV-сканирование (сканирование на уязвимости внешнего периметра сети), комплексный тест на проникновение и аудит, затронувший десятки бизнес-процессов и подразделений платежного сервиса. «При таких масштабах и гетерогенности инфраструктуры, как в Qiwi, безопасность электронных платежей выходит на первый план», — пояснил Иван Иванов, руководитель проекта со стороны «Информзащиты».
В 2015 г. аудиторы «Информзащиты» выполняли проект уже в соответствии с обновленными требованиями PCI Security Standards Council (совет по стандартам безопасности индустрии платежных карт). Стандарт PCI DSS 3.1 принципиально мало чем отличается от предыдущей версии 3.0, с той лишь разницей, что теперь компании должны отойти от протокола веб-шифрования Secure Sockets Layer (SSL). Это связано с тем, что на сегодняшний день он не считается достаточно надежным из-за рядя обнаруженных уязвимостей, пояснили в компании.
При этом руководством Совета по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) не раз упоминалось, что новые версии стандарта PCI DSS 3.0 и 3.1 делают серьезный упор именно на процессе обеспечения безопасности. Это означает, теперь цель аудита — не просто убедиться, что у компании имеется некая технология безопасности, а постоянно оценивать имеющиеся риски и следить за непрерывностью обеспечения безопасности бизнес-процессов.
Как отметил риск-менеджер группы Qiwi Илья Александров, «платежный сервис Qiwi позволяет миллионам россиян легко и быстро совершать все необходимые платежи. Растущий сегмент электронных платежей неизбежно привлекает злоумышленников, пытающихся получить доступ к средствам пользователей. Поэтому наш основной приоритет остается прежним — обеспечение должной безопасности платежных транзакций и средств в системе Visa Qiwi Wallet. Прохождение аудита на соответствие требованиям новой версии стандарта PCI DSS 3.1, проведенного компанией «Информзащита», в очередной раз подтвердило надежность применяемых защитных мер, направленных на предотвращение несанкционированного доступа к данным. Мы осуществляем регулярный анализ рисков безопасности и оптимизируем алгоритмы систем защиты наших сервисов. Одной из следующих задач по поддержанию должного уровня безопасности карточных данных и соответствия требованиям PCI DSS станет реализация подхода к регулярному выполнению и контролю работы процедур безопасности в операционном режиме business-as-usual».
© CNews