Сегодня бизнес многих компаний строится с использованием карточного процессинга, что наталкивает на необходимость сертификации по стандарту PCI DSS. Чтобы облегчить эту задачу, достаточно обратиться к сертифицированному по PCI DSS облачному провайдеру, предоставляющему PCI DSS хостинг и услуги типа Managed Services. Предлагая такой вид сервиса, поставщик услуг закрывает значительную часть требований стандарта, упрощая жизнь отдельно взятой компании. Мы расскажем о проекте РФИ Банка и о том, какие задачи решаются с помощью услуги PCI DSS Compliant Hosting.


\\srv-files\incoming\AS\Content\РФИ Банк опыт использования облачной услуги «ИТ-ГРАД» PCI DSS Compliant Hosting

Информация о банке


РФИ Банк – банк для бизнесменов и интернет-предпринимателей. С 2000 года развивает инновационные платежные технологии и проекты в области мобильной и электронной коммерции. Основным направлением деятельности банка является развитие транзакционного бизнеса и безрисковых комиссионных операций. За 2014 и 2015 годы банк реализовал «Стратегию развития в области электронной коммерции и платежных систем», а с 2015 года активно сотрудничает с государственными органами РФ в рамках проекта Госуслуги.ру и проектов департамента информационных технологий правительства Москвы.

Особенности облачного PCI DSS хостинга


Сегодня перед компаниями встает вопрос необходимости использования облачных технологий и передачи некоторых задач на аутсорсинг. Если одни ставят приоритетом сэкономить на железе, избавиться от рутинных задач, получить надежное, проверенное решение, то другие рассматривают необходимость соответствия стандартам с минимальными затратами сил, времени и денег.

«Мы переносили в облако не всю инфраструктуру, это было расширение уже существующей площадки путем частичного переноса виртуальных сервисов в облако, для которых надежность и поддержка PCI DSS являются критичными. Поскольку наши сервисы связаны с обработкой карточных данных, они требовали защиты по стандарту PCI DSS», - сообщил Николай Жукович, технический директор РФИ Банка.


Обзор облачной инфраструктуры РФИ Банка

Сегодня «ИТ-ГРАД» полностью управляет вынесенной в облако инфраструктурой заказчика. Услугу PCI DSS Compliant Hosting РФИ Банк потребляет в максимальном формате, что включает в себя аренду защищенной виртуальной инфраструктуры в соответствии с требованиями стандарта PCI DSS по модели IaaS, в том числе администрирование и управление этой инфраструктурой. В рамках услуги «ИТ-ГРАД» гарантирует безопасное обращение платежных карт, берет на себя ответственность по выполнению обязательных требований стандарта, обеспечивает защиту облачной инфраструктуры.

С помощью облачных технологий РФИ Банк решает задачи, связанные с предоставлением продуктов электронной коммерции. Компания располагает ИТ-платформой собственной разработки, часть которой функционирует из облака «ИТ-ГРАД». Это позволяет клиентам банка использовать удобные и безопасные инструменты для онлайн-оплаты в интернет-магазинах и через мобильные приложения.

Выбор облачного PCI DSS хостинг-провайдера


Варианты передачи ответственности за выполнение требований PCI DSS сертифицированному поставщику

Вынос критически важных сервисов за пределы внутренней инфраструктуры компании – это высокий уровень риска, который компенсируется доверием к выбранному поставщику. При поиске провайдера клиент оценивает различные факторы, включая уровень надежности, ведь обработка конфиденциальной информации должна осуществляться с применением защищенных механизмов и сводить к нулю возможные угрозы нарушения безопасности.

При выборе PCI DSS хостинг-провайдера было важно, чтобы поставщик мог взять на себя ответственность за выполнение максимального объема требований стандарта. Соответственно область применения сертификации облачного провайдера не должна была ограничиваться физическим размещением (colocation). Требовалось, чтобы сертификация PCI DSS, помимо collocation, покрывала услуги предоставления виртуальной инфраструктуры (PCI DSS IaaS) и администрирования в соответствии с требованиями стандарта (PCI DSS Managed Services). На момент старта проекта «ИТ-ГРАД» оказался единственным поставщиком в России, имеющим подобный уровень сертификации PCI DSS.

«При выборе провайдера мы обращали внимание на то, насколько требования PCI DSS можно максимально вынести на аутсорсинг. Сегодня «ИТ-ГРАД» – единственный поставщик в России, который полностью покрывает весь объем услуг в этой области. Мы потребляем максимальную схему PCI DSS с администрированием и управлением виртуальной инфраструктурой. При поиске поставщика мы обращали внимание на надежность и общались с клиентами провайдера для получения актуальной и независимой оценки. В дальнейшем мы планируем использовать не только услугу PCI DSS хостинга, но и рассматриваем возможность переноса в облако отдельных сервисов с целью дублирования части существующей инфраструктуры», - сообщил Николай Жукович, технический директор РФИ Банка.

О плюсах, минусах и ближайших перспективах

Компании используют облачные технологии по тем или иным причинам. Одни отмечают гибкие возможности, другие – широкую функциональность, третьи обращают внимание на относительную дешевизну в условиях непростой экономической ситуации. По словам Николая Жуковича, ценность облака при использовании услуги PCI DSS Compliant Hosting заключается в том, что компания экономит за счет того, что при сохранении требуемого уровня надежности и безопасности больше не тратит ресурсы на покупку оборудования, самостоятельное низкоуровневое администрирование инфраструктуры и выполнение наиболее трудоемких процедур для соблюдения требований стандарта PCI DSS.

«Облака, безусловно, имеют свои плюсы и минусы. Если что-то происходит хорошее или нехорошее, когда требуется оперативная реакция – мы полностью зависим от провайдера услуг. Насколько быстро и качественно отработает поставщик, настолько быстро и качественно мы сможем предоставлять свои услуги. Наш бизнес напрямую зависит от хостинг-провайдера. Отмечу, что, работая с «ИТ-ГРАД» мы чувствуем индивидуальный подход. А если возникают сложности или моменты, требующие незамедлительных действий, все вопросы решаются в кратчайшие сроки», - сообщил Николай Жукович, технический директор РФИ Банка.

В планах компании – развиваться дальше. Являясь экспертом в области электронной коммерции, РФИ Банк постоянно работает над улучшением современных платежных решений, обеспечивая комплексную поддержку для бизнеса собственных клиентов. Добиться поставленных целей помогают в том числе и облачные технологии. Используя сервис по аренде защищенной виртуальной инфраструктуры в соответствии с требованиями PCI DSS и передав задачи администрирования, управления инфраструктурой на аутсорсинг в надежные руки хостинг-провайдера, компания оказывает качественный сервис собственным клиентам. Сертифицированное по стандарту PCI DSS облако в модели IaaS помогает снизить риски финансовых потерь от всевозможных инцидентов в сфере информационной безопасности и повысить уровень защищенности среды обработки карточных данных.