Проект

QIWI cертифицировала ПО платёжных терминалов

Заказчики: Киви (ранее группа Qiwi)

Москва; Финансовые услуги, инвестиции и аудит

Подрядчики: Информзащита
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2015/07 — 2015/11
Технология: ИБ - Антивирусы
подрядчики - 314
проекты - 1330
системы - 446
вендоры - 135
Технология: ИБ - Антиспам
подрядчики - 275
проекты - 1119
системы - 233
вендоры - 96
Технология: ИБ - Аутентификация
подрядчики - 322
проекты - 1002
системы - 485
вендоры - 288
Технология: ИБ - Межсетевые экраны
подрядчики - 391
проекты - 1466
системы - 734
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 281
проекты - 1122
системы - 429
вендоры - 248
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 226
проекты - 783
системы - 315
вендоры - 147
Технология: ИБ - Средства шифрования
подрядчики - 278
проекты - 855
системы - 478
вендоры - 246

2 сентября 2014 года компания «Информзащита» сертифицировала электронный кошелек Visa QIWI Wallet на соответствие стандарту PCI DSS 3.0. Прохождение сертификации подтвердило высокий уровень защиты данных пользователей Visa QIWI Wallet, а также доказало надежность мер обеспечения и управления информационной безопасностью платежного сервиса.

По данным, предоставленным Группой QIWI, во втором квартале 2014 года количество активных аккаунтов Visa QIWI Wallet превысило 15,8 млн. При этом ежегодно количество транзакций по картам увеличивается в разы. Это накладывает высокие обязательства на платежный сервис по обеспечению безопасности платежных операций, а значит и требования международных стандартов к таким компаниям становятся все жестче.

Сертификационный аудит проводился в четыре этапа: предварительная оценка систем заказчика, ASV-сканирования (сканирование на уязвимости внешнего периметра сети), комплексный тест на проникновение и аудит, затронувший десятки бизнес-процессов и подразделений платежного сервиса. Илья Александров, руководитель направления банковских систем компании «Информзащита», подчеркнул, что при таких масштабах и гетерогенности ИТ-инфраструктуры, как в QIWI, важно не просто соответствовать самым последним требованиям международных платежных систем, но и обеспечивать реальную безопасность бизнес-процессов.

«Руководством Совета по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) не раз упоминалось, что новая версия стандарта PCI DSS 3.0 делает серьезный упор именно на процессе обеспечения безопасности, – объяснил он. – То есть теперь цель аудита – не просто убедиться, что у компании имеется некая технология безопасности, а постоянно оценивать имеющиеся риски и следить за непрерывностью обеспечения безопасности бизнес-процессов».
«Наша основная задача – обеспечение максимальной безопасности платежных транзакций и средств в кошельках Visa QIWI Wallet. Мы регулярно совершенствуем алгоритмы систем безопасности, – отметил риск-менеджер Группы QIWI Денис Персанов. – Аудит и сертификация, проведенные компанией «Информзащита», позволили нам подтвердить надежность и эффективность применяемых защитных мер, направленных на предотвращение несанкционированного доступа к данным держателей платежных карт QIWI».

Следующими шагами по поддержанию должного уровня соответствия требованиям PCI DSS станут постоянная актуализация реестра системных компонентов в области оценки (PCI-Scope), выполнение регулярных процедур и контролей ИБ и регулярное повышение осведомленности сотрудников QIWI в области обеспечения безопасности данных платежных карт.

Развитие проекта

27 июля 2015 года компания «Информзащита» сообщила о соответствии электронного кошелька Visa QIWI Wallet требованиям новой версии стандарта PCI DSS 3.1, продлив выданный ранее сертификат на один год.

Qiwi, 2013


В 2015-м году аудиторы «Информзащиты» выполнили проект в соответствии с обновленными требованиями PCI Security Standards Council (совет по стандартам безопасности индустрии платежных карт). Стандарт PCI DSS 3.1 принципиально мало чем отличается от предыдущей версии 3.0, с той лишь разницей, что теперь компании должны отойти от протокола веб-шифрования Secure Sockets Layer (SSL). Это связано с тем, что на сегодняшний день он не считается достаточно надежным из-за ряда обнаруженных уязвимостей.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

При этом руководством Совета по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) не раз упоминалось, что новые версии стандарта PCI DSS 3.0 и 3.1 делают серьезный упор именно на процесс обеспечения безопасности. Это означает, теперь цель аудита – не просто убедиться, что у компании имеется некая технология безопасности, а постоянно оценивать имеющиеся риски и следить за непрерывностью обеспечения безопасности бизнес-процессов.

«Платежный сервис QIWI позволяет миллионам россиян легко и быстро совершать все необходимые платежи. Растущий сегмент электронных платежей неизбежно привлекает злоумышленников, пытающихся получить доступ к средствам пользователей, поэтому наш основной приоритет остается прежним – обеспечение максимальной безопасности платежных транзакций и средств в системе Visa QIWI Wallet. Мы осуществляем регулярный анализ рисков безопасности и совершенствуем алгоритмы систем защиты наших сервисов. Одной из следующих задач по поддержанию должного уровня безопасности карточных данных и соответствия требованиям PCI DSS станет реализация подхода к регулярному выполнению и контролю работы процедур безопасности в операционном режиме «business-as-usual», - отметил риск-менеджер Группы QIWI Илья Александров.

2015: Сертификация терминалов

22 декабря 2015 компания QIWI сообщила о сертификации программного обеспечения для терминалов по стандарту PA-DSS.

Платежное приложение для QIWI-терминалов прошло сертификацию на соответствие стандарту безопасности данных платежных приложений PA-DSS (Payment Application Data Security Standard). Проект выполнен совместно с QSA-аудиторами компании «Информзащита».

Платежный терминал QIWI (2013)

Переводы на банковские карты во всех QIWI-терминалах обеспечивает программное обеспечение «Maratl», участвующее в обработке платежных авторизаций по картам и проведении необходимых расчетов через процессинг QIWI.

Согласно требованиям международных платежных систем Visa и MasterCard, максимальный уровень безопасности таких приложений достигается при условии их полного соответствия стандарту PA-DSS.

Партнером проекта Группы QIWI по сертификации приложения выступила компания «Информзащита». На первом этапе специалисты выполнили предварительный аудит – первичный анализ приложения и процессов разработки на выполнение требований стандарта. Затем сформировали план мероприятий, позволяющий QIWI устранить недостатки и выстроить необходимые процессы безопасного создания ПО.

На финальном этапе аудиторы «Информзащиты» проверили итоговую сертификацию, в результате которой установили, что ПО полностью соответствует требованиям PA-DSS. Отчет согласован с Советом PCI SSC.

«
Компания QIWI традиционно уделяет повышенное внимание обеспечению безопасности и поддержанию соответствия своих продуктов и сервисов лучшим международным и отраслевым практикам. В результате проведенной сертификации по стандарту PA-DSS мы в очередной раз подтвердили высокий уровень защищенности платежных операций и клиентских данных, обрабатываемых через сеть QIWI-терминалов. Благодаря этому наши клиенты получили максимальный уровень безопасности и защиты своих платежей через разнообразные интерфейсы QIWI.
Илья Александров, риск-менеджер QIWI
»