Проект

"Крок" сертифицирована на соответствие требованиям PCI DSS

Заказчики: Крок

Москва; Информационные технологии

Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2015/04 — 2017/10
Технология: ИБ - Антивирусы
подрядчики - 299
проекты - 1294
системы - 438
вендоры - 129
Технология: ИБ - Антиспам
подрядчики - 260
проекты - 1086
системы - 228
вендоры - 91
Технология: ИБ - Аутентификация
подрядчики - 300
проекты - 952
системы - 464
вендоры - 278
Технология: ИБ - Межсетевые экраны
подрядчики - 371
проекты - 1407
системы - 705
вендоры - 250
Технология: ИБ - Предотвращения утечек информации
подрядчики - 265
проекты - 1067
системы - 418
вендоры - 242
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 216
проекты - 752
системы - 303
вендоры - 137
Технология: ИБ - Средства шифрования
подрядчики - 269
проекты - 823
системы - 464
вендоры - 242

Содержание

2017

30 ноября 2017 года компания Крок сообщила о сертифицировании облака на соответствие PCI DSS — стандарту индустрии платежных карт, всесторонне регламентирующему вопросы информационной безопасности (ИБ).

Теперь заказчики Крок — финансовые организации, онлайн-ритейл, провайдеры и другие компании, принимающие платежи по банковским картам от клиентов через свои сайты — могут быть уверены, что они переносят свои сервисы на защищенную по мировым стандартам облачную платформу с двойными гарантиями отказоустойчивости.

Подготовка облачной платформы, включая ЦОД, виртуальную инфраструктуру и процессы эксплуатации под требования PCI DSS заняла более одного года. В результате усовершенствовано облако Крок: проведена ревизия всех его компонентов, особое внимание уделено сетевым механизмам.

Получение сертификата важно и для тех заказчиков, которые не осуществляют на ресурсах облака Крок процессинг платежных карт. Перечень требований стандарта охватывает практически все сферы безопасности, что позволяет «снять» возникающие вопросы служб информационной безопасности заказчиков к облачной платформе и облегчить принятие решения о переезде в облако Крок.

«
«Облако Крок — это продукт, который не имеет аналогов на российском рынке, так как является нашей собственной разработкой. Оно легко подстраивается под бизнес-задачи крупных заказчиков, которые переносят системы, обеспечивающие core-бизнес. Отличительные характеристики облачных услуг — максимальная степень защищенности данных, высочайшая производительность, отказоустойчивость, обеспечиваемая территориальной распределенностью платформы, множество услуг, которые мы оказываем на ее основе, а также индивидуальный подход и квалифицированная, доступная в режиме 24х7 поддержка — это наши конкурентные преимущества».

Максим Березин, директор по развитию облачных услуг компании Крок
»

«
«Мы проводим сертификационные аудиты на соответствие PCI DSS порядка 9 лет, но сертифицировать облачную платформу такого ранга и масштаба нам приходится впервые. Сотрудники Крок показали крепкие знания в области информационной безопасности и в рамках поддержки своего облачного решения, обеспечении его безопасности, и в процессах безопасной разработки программного обеспечения».

Андрей Гайко, QSA-аудитор, заместитель директора Digital Compliance
»

2015

9 ноября 2015 года стало известно о завершении проекта аудита виртуального дата-центра КРОК на соответствие стандарту безопасности PCI DSS (Payment Card Industry Data Security Standard). Аудит ЦОД выполнила компания Digital Compliance по заказу компании Platbox - она перенесла систему процессинга в ЦОД КРОК.

Задачи проекта

При размещении процессинговых систем в публичном облаке, в соответствии с международным стандартом безопасности платежных карт PCI DSS (Payment Card Industry Data Security Standard), провайдер цифровой инфраструктуры должен обеспечить соответствующие мероприятия по защите данных и гарантировать безопасность информационной среды.

Офис "Крок" (2014)

Итог проекта

По итогам аудита компания КРОК получила рекомендацию о переходе на двухфакторную аутентификацию (2FA) при доступе к порталу самообслуживания, посредством которого облачные заказчики управляют вычислительными ресурсами.

2FA позволяет достичь дополнительного уровня защиты и обезопасить клиентов от несанкционированного доступа к облачным ресурсам, предлагая верификацию в два этапа. В случае перехвата пароля или потери администратором заказчика ноутбука с введенными ранее данными, доступ к порталу будет затруднен. Интервью TAdviser: Вячеслав Касимов, ИБ-директор МКБ — о применении DevSecOps при разработке веб-приложений 8.1 т

Рекомендацию аудиторской компании специалисты провайдера выполнили в течение одной недели.

«Опыт сертификации по стандартам PCI DSS открывает для нас новые возможности для предоставления облачных услуг другим игрокам рынка платежных систем, а также в перспективе поможет упростить организационные вопросы при переносе процессинговых систем в облако для будущих заказчиков. Инфраструктура нашего облака готова к миграции таких заказчиков и обеспечению требуемого уровня безопасности платежных данных клиентов», — поведал Максим Березин, руководитель виртуального дата-центра КРОК.
«К компании КРОКу нас был минимум замечаний. Она использует надежное оборудование и сертифицированные средства защиты. Ответственность участников закрепляется в строгих SLA. Это говорит о высоком уровне менеджмента КРОК, надежности облачных сервисов и следовании компании мировым стандартам», — сообщил Павел Федоров, управляющий партнер Digital Compliance.