Заказчики: Крок Москва; Информационные технологии Подрядчики: Digital Compliance (Диджитал Комплаенс) Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2015/04 — 2017/10
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
Содержание |
2017
30 ноября 2017 года компания Крок сообщила о сертифицировании облака на соответствие PCI DSS — стандарту индустрии платежных карт, всесторонне регламентирующему вопросы информационной безопасности (ИБ).
Теперь заказчики Крок — финансовые организации, онлайн-ритейл, провайдеры и другие компании, принимающие платежи по банковским картам от клиентов через свои сайты — могут быть уверены, что они переносят свои сервисы на защищенную по мировым стандартам облачную платформу с двойными гарантиями отказоустойчивости.
Подготовка облачной платформы, включая ЦОД, виртуальную инфраструктуру и процессы эксплуатации под требования PCI DSS заняла более одного года. В результате усовершенствовано облако Крок: проведена ревизия всех его компонентов, особое внимание уделено сетевым механизмам.
Получение сертификата важно и для тех заказчиков, которые не осуществляют на ресурсах облака Крок процессинг платежных карт. Перечень требований стандарта охватывает практически все сферы безопасности, что позволяет «снять» возникающие вопросы служб информационной безопасности заказчиков к облачной платформе и облегчить принятие решения о переезде в облако Крок.
«Облако Крок — это продукт, который не имеет аналогов на российском рынке, так как является нашей собственной разработкой. Оно легко подстраивается под бизнес-задачи крупных заказчиков, которые переносят системы, обеспечивающие core-бизнес. Отличительные характеристики облачных услуг — максимальная степень защищенности данных, высочайшая производительность, отказоустойчивость, обеспечиваемая территориальной распределенностью платформы, множество услуг, которые мы оказываем на ее основе, а также индивидуальный подход и квалифицированная, доступная в режиме 24х7 поддержка — это наши конкурентные преимущества». Максим Березин, директор по развитию облачных услуг компании Крок |
«Мы проводим сертификационные аудиты на соответствие PCI DSS порядка 9 лет, но сертифицировать облачную платформу такого ранга и масштаба нам приходится впервые. Сотрудники Крок показали крепкие знания в области информационной безопасности и в рамках поддержки своего облачного решения, обеспечении его безопасности, и в процессах безопасной разработки программного обеспечения». |
2015
9 ноября 2015 года стало известно о завершении проекта аудита виртуального дата-центра КРОК на соответствие стандарту безопасности PCI DSS (Payment Card Industry Data Security Standard). Аудит ЦОД выполнила компания Digital Compliance по заказу компании Platbox - она перенесла систему процессинга в ЦОД КРОК.
Задачи проекта
При размещении процессинговых систем в публичном облаке, в соответствии с международным стандартом безопасности платежных карт PCI DSS (Payment Card Industry Data Security Standard), провайдер цифровой инфраструктуры должен обеспечить соответствующие мероприятия по защите данных и гарантировать безопасность информационной среды.
Офис "Крок" (2014)
Итог проекта
По итогам аудита компания КРОК получила рекомендацию о переходе на двухфакторную аутентификацию (2FA) при доступе к порталу самообслуживания, посредством которого облачные заказчики управляют вычислительными ресурсами.
2FA позволяет достичь дополнительного уровня защиты и обезопасить клиентов от несанкционированного доступа к облачным ресурсам, предлагая верификацию в два этапа. В случае перехвата пароля или потери администратором заказчика ноутбука с введенными ранее данными, доступ к порталу будет затруднен. Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
Рекомендацию аудиторской компании специалисты провайдера выполнили в течение одной недели.
«Опыт сертификации по стандартам PCI DSS открывает для нас новые возможности для предоставления облачных услуг другим игрокам рынка платежных систем, а также в перспективе поможет упростить организационные вопросы при переносе процессинговых систем в облако для будущих заказчиков. Инфраструктура нашего облака готова к миграции таких заказчиков и обеспечению требуемого уровня безопасности платежных данных клиентов», — поведал Максим Березин, руководитель виртуального дата-центра КРОК.
«К компании КРОКу нас был минимум замечаний. Она использует надежное оборудование и сертифицированные средства защиты. Ответственность участников закрепляется в строгих SLA. Это говорит о высоком уровне менеджмента КРОК, надежности облачных сервисов и следовании компании мировым стандартам», — сообщил Павел Федоров, управляющий партнер Digital Compliance.