Согласно распространенной московской компанией “АйТи” информации, в конце 2006 года она заключила соглашение с украинской фирмой Portmone.com о проведении сканирования уязвимостей поддерживаемой ею межбанковской системы электронной доставки и оплаты счетов. Portmone.com является единственной в Украине компанией, имеющей сертификат соответствия стандарту безопасности Payment Card Industry Data Security Standard (PCI DSS, о процедуре аудита на соответствие стандарту PCI DSS и его распространении на территории РФ и стран СНГ см. http://pcweek.ru/?ID=612410), который подтверждает высокую надежность и безопасность оказываемых его обладателем услуг по оплате счетов через Интернет с помощью международных платежных карточек Visa и MasterСard.
Первое удаленное сканирование инфраструктуры заказчика было проведено специалистами “АйТи” в декабре 2006 года и подтвердило безопасность системы Portmone.com. В течение 2007 года аналогичные проверки будут осуществляться ежеквартально. Их итоги будут учитываться при продлении сертификата PCI DSS у Portmone.com, а в случае обнаружения уязвимостей на их основе будут готовиться рекомендации по доработкам ее системы безопасности.
“Прохождение аудита на соответствие мировым стандартам безопасности, которые избрали для себя крупнейшие платежные системы MasterCard и Visa, не конечная цель нашей компании. Это лишь подтверждение профессионального подхода к вопросам безопасности Интернет-платежей, — говорит Игорь Горин, президент компании Portmone.com. — Теперь мы получили экспертное подтверждение того, что платежи в Интернете не только быстрый и удобный способ расчета, но и надежный”.
Как заявляет пресс-служба “АйТи”, в октябре 2006 года эта компания получила статус SDP Approved Scanning Vendor и право осуществлять тестирование безопасности платежных систем на основе пластиковых карт, и в настоящее время “АйТи” является единственной в России, кроме представительства MasterCard, которая предоставляет данную услугу. Как утверждают в компании, ее специалисты проводят не только тестирование систем и подготовку рекомендаций по устранению выявленных уязвимостей, но и разрабатывают необходимые организационно-технические решения по модернизации процессинговых центров и повышению общего уровня защищенности.
Как пояснил нам заместитель директора по маркетингу компании “Информзащита” Михаил Савельев, продление сертификата PCI DSS осуществляется по результатам аудита, проводимого организацией со статусом Qualified Security Assessor (“Информзащита” имеет такой статус). Результаты четырех последних сканирований уязвимостей должны помочь аудитору увидеть, что эмитент работает над поддержанием своей процессинговой системы в безопасном состоянии. Но это только один из параметров, по которым выдается заключение о соответствии организации требованиям стандарта PCI DSS.