Wdrożenie standardu PCI w firmie Polskie ePłatności
Transkrypt
Wdrożenie standardu PCI w firmie Polskie ePłatności
Branża informatyczna IBM Usługi IT Wdrożenie standardu PCI w firmie Polskie ePłatności Audyt przeprowadzony przez IBM pomógł spółce Polskie ePłatności uzyskać certyfikat zgodności ze standardem PCI DSS Problem biznesowy Spółka Polskie ePłatności oferuje rozwiązania w zakresie tworzenia i obsługi aplikacji dla terminali POS. Długoletnie doświadczenie Spółki istotnie przyczyniło się do rozwoju krajowego rynku płatności elektronicznych. Ponieważ branża kart płatniczych wprowadziła standard ochrony informacji PCI DSS, Polskie ePłatności musiały zdobyć certyfikat zgodności z nowymi przepisami. Z jednej strony uzyskanie certyfikatu dałoby partnerom Spółki pewność współpracy z firmą, która gwarantuje najwyższy poziom bezpieczeństwa w zakresie obsługi kart na terminalach POS, a z drugiej otwierało drogę do dalszego prowadzenia biznesu. Spółka Polskie ePłatności została założona w 2010 roku przez dwie renomowane firmy: OPTeam SA oraz Polską Wytwórnię Papierów Wartościowych SA. Spółka OPTeam jest polską firmą informatyczną notowaną na warszawskiej Giełdzie Papierów Wartościowych działającą z dużymi sukcesami od 1988 roku. Oferuje rozwiązania, produkty i usługi IT na światowym poziomie. Długoletnie doświadczenie w tworzeniu i obsłudze aplikacji dla terminali POS dało OPTeam kompetencje do działania na rzecz rozwoju krajowego rynku płatności elektronicznych. Natomiast PWPW SA to firma należąca do Skarbu Państwa, której odbiorcami usług są m.in. Narodowy Bank Polski, Ministerstwo Finansów, Ministerstwo Infrastruktury czy MSWiA. - Renoma założycieli naszej spółki oraz doświadczenie OPTeam w systemach kartowych w dużej mierze przyczyniły się do naszego sukcesu. Dodatkowo partnerem Polskich ePłatności, który gwarantuje i nadzoruje rozliczanie transakcji kartowych jest Bank BPH, członek grupy GE Capital. Bank pełni rolę Agenta Rozliczeniowego – mówi Justyna Makara, Specjalista ds. Rozliczeń z Organizacjami Płatniczymi, Centrum Rozliczeń Elektronicznych Polskie ePłatności SA. Działania Spółki koncentrują się na obsłudze małych i średnich sklepów, także tych, które dotychczas nie akceptowały kart. Znajduje to odzwierciedlenie w wartości pojedynczej transakcji wykonywanej w terminalach należących do PeP. Dla polskiego rynku wynosi ona niewiele mniej niż 100 zł, dla PeP to 70 zł. Od początku działalności firmy Polskie ePłatności dostarczają każdemu swojemu kontrahentowi PIN pady z funkcją obsługi płatności zbliżeniowych, najwygodniejsze do obsługi transakcji niskowartościowych. Dzięki konsekwentnej realizacji strategii biznesowej na koniec I kwartału bieżącego roku ponad 30 procent czytników zbliżeniowych dostępnych na rynku należało do PeP. - Od samego początku budujemy bezpieczną, odporną na wahania koniunktury bazę klientów. Naszym fundamentem są sklepy, w których robimy codzienne zakupy. Technologicznie i produktowo jesteśmy jednakże gotowi do obsługi nawet najbardziej wymagających klientów. Posiadanie własnego zaplecza IT tworzącego aplikacje do terminali POS czyni nas szybkimi i elastycznymi w reakcji na zmieniające się wymagania rynku - mówi Justyna Makara. Branża informatyczna IBM Usługi IT Spółka, choć funkcjonuje na rynku od niedawna, ma już na swoim koncie kilka spektakularnych sukcesów. W zakresie obsługi i rozliczeń transakcji płatniczych realizowanych z użyciem terminali POS firma współpracuje m.in. z siecią marketów Alma oraz księgarniami Matras. Polskie ePłatności obsługują również płatności kartowe na Stadionie Narodowym. Dzięki temu kibice uczestniczący w wydarzeniach sportowych na największej arenie w Polsce mogą błyskawicznie dokonywać zakupów dzięki terminalom POS z czytnikami zbliżeniowymi. Polskie ePłatności zainstalowały na stadionie ponad 200 sztuk takich urządzeń. W 2004 roku branża kart płatniczych wprowadziła standard ochrony informacji PCI DSS (Payment Card Industry Data Security Standard), którego celem jest skuteczna ochrona danych posiadaczy kart płatniczych oraz transakcji kartowych. Zgodnie z wymogami PCI, wszystkie organizacje i firmy przechowujące, procesujące lub przesyłające dane posiadaczy kart płatniczych oraz transakcji nimi wykonywanych muszą spełniać wymogi tego standardu. Rozwiązanie Zgodność ze standardami PCI musi być poświadczona certyfikatem z audytu zgodności. Do przeprowadzenia audytu spółka wybrała IBM. W ofercie IBM Internet Security Systems (IBM ISS) istnieje cała gama usług związanych z PCI DSS. Ich zakres obejmuje wszystkie formalne metody weryfikacji zgodności z PCI DSS oraz usługi wspomagające wdrożenie standardu. Realizacja harmonogramu wdrożenia nie przyniosła większych trudności. Natomiast dostosowanie środowiska i całej organizacji do wymogów PCI zajęło kilka miesięcy. - Już podczas zakładania spółki wiedzieliśmy, że będziemy musieli być zgodni z wymogami PCI DSS. Bez tej zgodności nasz biznes byłby niemożliwy. Z jednej strony uzyskanie certyfikatu daje naszym partnerom pewność współpracy z firmą, która gwarantuje najwyższy poziom bezpieczeństwa w zakresie obsługi kart na terminalach POS, a z drugiej po prostu otwiera drogę do prowadzenia działalności - mówi Justyna Makara. Rozwiązanie Centrum Rozliczeń Elektronicznych Polskie ePłatności SA potrzebowało uzyskać zgodność ze standardami PCI DSS stworzonymi wspólnie przez największe organizacje kart płatniczych: Visa, MasterCard, Discover, American Express i JCB. Był to jeden z warunków koniecznych do prowadzenia działalności. - Firmy, które chcą uczestniczyć w procesie wykonywania transakcji kartowych jak też rozliczania transakcji muszą być zgodne z tym standardem. Niedostosowanie się do wymogów PCI DSS grozi poważnymi konsekwencjami biznesowymi czy finansowymi – mówi Robert Tymiński, Project Manager IBM. Zgodność ze standardami PCI musi być poświadczona certyfikatem z audytu zgodności. Dlatego pierwszą decyzją, jaką musiały podjąć Polskie ePłatności był wybór firmy wspomagającej ich wdrożenie. - W Europie jest dużo firm mających uprawnienia do wykonywania takich audytów jednak ich oferty są trudne do porównania. W pierwszym etapie wybraliśmy kilka podmiotów, z którymi chcieliśmy nawiązać współpracę. Po wstępnych rozmowach ostatecznie zdecydowaliśmy się na ofertę IBM - mówi Justyna Makara. Branża informatyczna IBM Usługi IT IBM zostało wybrane ze względu na renomę firmy oraz możliwość indywidualnego dostosowania standardu do potrzeb spółki. Dodatkowo IBM jako jedyny z oferentów miał opcję przeprowadzenia audytu w języku polskim. W ofercie IBM Internet Security Systems (IBM ISS) istnieje cała gama usług związanych z PCI DSS. Ich zakres obejmuje wszystkie formalne metody weryfikacji zgodności z PCI DSS oraz usługi wspomagające wdrożenie standardu. - Projekt rozpoczęliśmy od rozpoznania środowiska i budowy scenariuszy prac. Po stronie spółki wyznaczono grupę osób odpowiedzialnych za realizację każdego z obszarów PCI. Kolejnymi krokami było wydzielenie środowiska danych kartowych, stworzenie bezpiecznej sieci oraz bezpiecznego procesu rozwoju oprogramowania. Wprowadzone zostały dodatkowe mechanizmy rejestrujące i raportujące operacje wykonywane na danych wrażliwych. Opracowany został zestaw procedur i instrukcji powiązanych z wymogami PCI oraz system szkoleń podnoszących wiedzę i kwalifikacje personelu - mówi Magdalena Litwin, Specjalista ds. Nadzoru Operacyjnego, Centrum Rozliczeń Elektronicznych Polskie ePłatności SA. Korzyści Wdrożenie standardu PCI DSS umożliwiło Centrum Rozliczeń Elektronicznych Polskie ePłatności SA prowadzenie swojego biznesu. Dzięki ścisłej współpracy z IBM firma stale utrzymuje zgodność ze standardem bez względu na zmiany jakie wykonuje w swoim środowisku i w oparciu o najnowsze aktualizacje. Spółka przez kilka najbliższych lat chce znaleźć się w pierwszej trójce “Acquier’ów” w Polsce. Realizacja takiego założenia nie może odbywać się poza określonymi wymogami PCI. Ich spełnianie utwierdza partnerów firmy w przekonaniu, że każda dana wrażliwa jest przetwarzana i przesyłana przez systemy PeP z zachowaniem najwyższych standardów bezpieczeństwa i poufności. - Wszystkie powyższe zadania wykonane były w ramach części konsultacyjnej projektu, w której pomagaliśmy wskazać klientowi kierunki, w jakich powinien rozwijać swoje środowisko, aby było ono zgodne ze standardami PCI. Jako jedno z pomocniczych narzędzi stosowaliśmy skanowanie adresów IP klienta za pomocą zewnętrznego portalu oferującego takie usługi. Zakres realizowanego projektu obejmował również zapewnienie dostępu do tego portalu.. Po zakończeniu wspomnianych prac, formalnym – ostatnim etapem projektu było przygotowanie oficjalnego raportu zgodności ze standardami PCI – dodaje Robert Tymiński, Project Manager IBM. Standard PCI DSS obejmuje 6 obszarów tematycznych podzielonych na 12 szczegółowych wymogów. Każda organizacja biznesowa, która przetwarza, przesyła lub przechowuje dane kartowe jest zobowiązana do spełnienia wszystkich wymogów standardu PCI DSS. W celu sprawdzania zgodności z PCI DSS branża kart płatniczych wprowadziła różne poziomy obowiązkowej weryfikacji. Poziomy weryfikacji zgodności są podzielone na dwie grupy. Pierwsza grupa dotyczy sprzedawców akceptujących płatności kartami. Druga dotyczy usługodawców, którzy świadczą usługi teleinformatyczne związane z przetwarzaniem, przesyłaniem lub przechowywaniem danych transakcji kartowych. - Mieliśmy znacznie lepszą sytuację niż inne firmy działające na tym rynku od lat. PCI jest stosunkowo nowym standardem, do którego nagle wszyscy zostali zobowiązani. Dlatego opracowując strategię powstania firmy opieraliśmy wszystkie procedury i rozwiązania systemowe właśnie o te standardy - mówi Magdalena Litwin. Realizacja harmonogramu wdrożenia nie przysporzyła większych trudności, natomiast dostosowanie środowiska i całej organizacji do wymogów PCI zajęło kilka miesięcy. Korzyści Wdrożenie standardu PCI DSS umożliwiło Centrum Rozliczeń Elektronicznych Polskie ePłatności SA prowadzenie swojego biznesu. Dzięki ścisłej współpracy z IBM firma stale utrzymuje zgodność ze standardem bez względu na zmiany jakie wykonuje w swoim środowisku i w oparciu o najnowsze aktualizacje. - Chcemy być postrzegani jako najbardziej nowatorskie centrum rozliczeniowe. Dynamika działania i błyskawiczna reakcja na wszystkie pojawiające się na rynku nowinki techniczne i aplikacyjne tylko nas do tego przybliżają. Nasza pozycja, która plasuje nas między małym zwrotnym biznesem, a dużą korporacją pokazuje, że jesteśmy istotnym graczem na rynku. W związku z tym klienci muszą mieć pewność, że współpraca z nami jest w pełni bezpieczna. Chcemy charakteryzować się profesjonalizmem i dbałością o każdy szczegół – mówi Magdalena Litwin. © Copyright IBM Corporation 2012 IBM Polska Sp. z o.o. ul. 1 Sierpnia 8 02-134 Warszawa tel. (+48 22) 878 67 77 faks (+48 22) 878 68 88 ibm.com/pl Spółka stawia przed sobą ambitne cele. Przez kilka najbliższych lat chce znaleźć się w pierwszej trójce “Acquier’ów” w Polsce. Realizacja takiego założenia nie może odbywać się poza określonymi wymogami PCI. Jest to gwarancja dla partnerów firmy, że każda dana wrażliwa przetwarzana i przesyłana przez systemy PeP posiada najwyższy stopień bezpieczeństwa. Standardy PCI DSS dotyczą zarówno agentów rozliczeniowych, jak też większych podmiotów procesujących określone limity transakcji, które zobowiązane są do posiadania certyfikatu zgodności ze standardem PCI DSS. Wyprodukowano w Polsce Wszelkie prawa zastrzeżone IBM i logo IBM są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy International Business Machines Corporation w Stanach Zjednoczonych i/lub w innych krajach. Nazwy innych przedsiębiorstw, produktów i usług mogą być znakami towarowymi lub znakami usług innych podmiotów. - Więksi klienci (z dużą liczbą oddziałów, transakcji) teoretycznie powinni we własnym zakresie zadbać o uzyskanie certyfikatu zgodności ze standardem PCI DSS. Jednak podchodząc do tego biznesowo chcielibyśmy sami oferować taką usługę. Obecnie dbamy o bezpieczeństwo za wszystkich małych klientów korzystających z naszych usług. Dla przykładu jeżeli jakiś punkt sprzedaży chce uruchomić płatności kartowe, to my dbamy o zachowanie standardów bezpieczeństwa. Natomiast dzięki ofercie IBM będziemy mogli także wziąć pod uwagę oferowanie takich standardów dla wszystkich potencjalnych klientów. Tych małych i tych dużych – mówi Justyna Makara.