«Информзащита» подтвердила соответствие Visa Qiwi Wallet требованиям PCI DSS 3.1

Безопасность Интеграция ИТ в банках Стратегия безопасности
мобильная версия
, Текст: Татьяна Короткова

Компания «Информзащита» подтвердила соответствие электронного кошелька Visa Qiwi Wallet требованиям новой версии стандарта PCI DSS 3.1, продлив выданный ранее сертификат еще на один год. Как сообщили CNews в «Информзащите», прохождение сертификации в очередной раз доказало должный уровень защиты данных пользователей Visa Qiwi Wallet, а также надежность мер обеспечения и управления информационной безопасностью платежного сервиса.

По данным группы Qiwi, на июль 2015 г. количество активных аккаунтов Visa Qiwi Wallet превысило 17,3 млн, а количество транзакций по картам ежегодно увеличивается в разы. Требования к безопасности электронных платежей таких сервис-провайдеров ежегодно обновляются и становятся все жестче, поэтому ежегодная сертификация на соответствие требованиям PCI DSS является необходимым условием функционирования сервиса.

В 2014 г. «Информзащита» сертифицировала Visa Qiwi Wallet на соответствие стандарту PCI DSS 3.0. Тогда специалисты провели аудит, состоящий из четырех этапов: оценка систем заказчика, ASV-сканирование (сканирование на уязвимости внешнего периметра сети), комплексный тест на проникновение и аудит, затронувший десятки бизнес-процессов и подразделений платежного сервиса.

В 2015 г. аудиторы «Информзащиты» выполняли проект уже в соответствии с обновленными требованиями PCI Security Standards Council (совет по стандартам безопасности индустрии платежных карт). Стандарт PCI DSS 3.1 принципиально мало чем отличается от предыдущей версии 3.0, с той лишь разницей, что теперь компании должны отойти от протокола веб-шифрования Secure Sockets Layer (SSL). Это связано с тем, что на сегодняшний день он не считается достаточно надежным из-за рядя обнаруженных уязвимостей, пояснили в компании.

При этом руководством Совета по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) не раз упоминалось, что новые версии стандарта PCI DSS 3.0 и 3.1 делают серьезный упор именно на процессе обеспечения безопасности. Это означает, теперь цель аудита — не просто убедиться, что у компании имеется некая технология безопасности, а постоянно оценивать имеющиеся риски и следить за непрерывностью обеспечения безопасности бизнес-процессов.

Как отметил риск-менеджер группы Qiwi Илья Александров, «платежный сервис Qiwi позволяет миллионам россиян легко и быстро совершать все необходимые платежи. Растущий сегмент электронных платежей неизбежно привлекает злоумышленников, пытающихся получить доступ к средствам пользователей. Поэтому наш основной приоритет остается прежним — обеспечение должной безопасности платежных транзакций и средств в системе Visa Qiwi Wallet. Прохождение аудита на соответствие требованиям новой версии стандарта PCI DSS 3.1, проведенного компанией “Информзащита”, в очередной раз подтвердило надежность применяемых защитных мер, направленных на предотвращение несанкционированного доступа к данным. Мы осуществляем регулярный анализ рисков безопасности и оптимизируем алгоритмы систем защиты наших сервисов. Одной из следующих задач по поддержанию должного уровня безопасности карточных данных и соответствия требованиям PCI DSS станет реализация подхода к регулярному выполнению и контролю работы процедур безопасности в операционном режиме business-as-usual».