Оценки соответствия ГОСТ Р 57580, 382-П и предаудит PCI DSS для НКО «Мобильная карта»
Специалисты по информационной безопасности компании ITGLOBAL.COM провели предварительные оценки соответствия ГОСТ Р 57580 и Положению 382-П, а также предсертификационный аудит PCI DSS для ООО НКО «Мобильная карта» (Санкт-Петербург).Ранее компания «Мобильная карта» неоднократно проходила ежегодный сертификационный аудит на соответствие стандарту PCI DSS. В 2019 году НКО решила обратиться к аудиторам ITGLOBAL.COM, чтобы проверить уровень соответствия сразу нескольким нормативным актам и стандартам регуляторов.
Задача проекта
Специалистам ITGLOBAL.COM требовалось оценить информационные системы и бизнес-процессы клиента на соответствие требованиям стандарта PCI DSS, Положения Банка России № 382-П и ГОСТ Р 57580. После чего — разработать детальный отчет о выявленных несоответствиях (если они будут найдены) с рекомендациями по их устранению.
Ключевые сведения
«Мобильная карта» (Лицензия Банка России № 3522-К) реализует на российском рынке масштабный проект «ПЕРВЫЙ ЦУПИС» (Центр учета переводов интерактивных ставок) для легальных букмекерских контор. Проект развивает экосистему электронных платежей для любителей спортивных ставок, способствуя росту национального букмекерского рынка с учетом интересов государства и общества. Проект помогает достичь финансовой прозрачности и взаимного доверия между букмекером, игроком и регулятором. Среди партнеров «ПЕРВОГО ЦУПИС» — крупнейшие российские букмекерские компании: «Лига Ставок», 1xСтавка, Winline, BETCITY, Parimatch и другие.
У проекта «ПЕРВЫЙ ЦУПИС» более 4 млн. зарегистрированных клиентов, которые доверяют компании данные своих платежных карт и персональные данные. Ежедневно через сервис проходит более 200 тыс. платежей. Отсюда — необходимость соответствия не только стандарту PCI DSS (безопасность карточных данных), но также Положению 382-П (безопасность денежных переводов) и ГОСТ Р 57580 (безопасность финансовых операций).
Выбор аудитора
Для выбора аудиторской организации ООО НКО «Мобильная карта» провела обширное исследование рынка, основываясь на общедоступной информации и рекомендациях коллег из банковской сферы. ITGLOBAL.COM выиграла конкурс за счет лучшего сочетания цены, качества и количества услуг, которые входят в стоимость. Помимо этого, клиент смог выбрать конкретные позиции услуги, исключив то, что на данный момент ему не требуется.
Реализация
- ООО НКО «Мобильная карта» показала высокий уровень соответствия стандарту PCI DSS. В ходе работы аудиторская группа не выявила серьезных несоответствий. Мелкие недочеты были устранены во время аудита. Компания учла все рекомендации специалистов ITGLOBAL.COM. В дальнейшем «Мобильная карта» успешно прошла независимый QSA-аудит.
- По результатам оценки соответствия Положения Банка России № 382-П установлено, что итоговый показатель выполнения требований характеризуется как “хороший”.
- По ГОСТ Р 57580 клиент получил экспертные рекомендации, подробно описывающие каждую из оценок стандарта. Здесь «Мобильная карта» также показала высокий уровень соответствия требованиям регулятора.
Мнение
Сергей Гуляев, директор по информационным технологиям и безопасности «Мобильная карта»:
«Мы хотели получить независимую оценку по соответствию требованиям Положения Банка России №382-П и предварительному соответствию требованиям ГОСТ 57580. По результату, мы хорошо подготовились. Рекомендации, которые предоставила аудиторская группа ITGLOBAL.COM по ГОСТ 57580, оперативно устранили. Отдельно хочу отметить, что аудиторы продемонстрировали отличное знание не только нормативных актов и документов, но и технических аспектов, которые касались оценки».
Планы на будущее
На декабрь 2020 года запланирована финальная оценка ООО НКО «Мобильная карта» по ГОСТ Р 57580. В рамках подготовки, специалисты ITGLOBAL.COM оказывают НКО консультационную поддержку.
Об услугах информационной безопасности
ITGLOBAL.COM предлагает услуги по информационной безопасности с 2017 года. Среди них: подготовка к сертификации PCI DSS, оценка соответствия 152-ФЗ, оценка соответствия 382-П, оценка соответствия ГОСТ Р 57580, тестирование на проникновение (pentest). Право на проведение аудиторских проверок ITGLOBAL.COM подтверждено лицензией ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ).