Wdrożenie standardu PCI w firmie Polskie ePłatności

Wdrożenie standardu PCI w firmie Polskie ePłatności

Branża informatyczna
IBM Usługi IT
Wdrożenie standardu PCI
w firmie Polskie ePłatności
Audyt przeprowadzony przez IBM pomógł spółce
Polskie ePłatności uzyskać certyfikat zgodności
ze standardem PCI DSS
Problem biznesowy
Spółka
Polskie
ePłatności
oferuje
rozwiązania w zakresie tworzenia i obsługi
aplikacji dla terminali POS. Długoletnie
doświadczenie Spółki istotnie przyczyniło
się do rozwoju krajowego rynku płatności
elektronicznych. Ponieważ branża kart
płatniczych wprowadziła standard ochrony
informacji PCI DSS, Polskie ePłatności
musiały zdobyć certyfikat zgodności
z nowymi przepisami. Z jednej strony
uzyskanie certyfikatu dałoby partnerom
Spółki pewność współpracy z firmą, która
gwarantuje najwyższy poziom bezpieczeństwa
w zakresie obsługi kart na terminalach
POS, a z drugiej otwierało drogę do
dalszego prowadzenia biznesu.
Spółka Polskie ePłatności została założona w 2010 roku przez dwie
renomowane firmy: OPTeam SA oraz Polską Wytwórnię Papierów
Wartościowych SA. Spółka OPTeam jest polską firmą informatyczną
notowaną na warszawskiej Giełdzie Papierów Wartościowych działającą
z dużymi sukcesami od 1988 roku. Oferuje rozwiązania, produkty
i usługi IT na światowym poziomie. Długoletnie doświadczenie
w tworzeniu i obsłudze aplikacji dla terminali POS dało OPTeam
kompetencje do działania na rzecz rozwoju krajowego rynku płatności
elektronicznych. Natomiast PWPW SA to firma należąca do Skarbu
Państwa, której odbiorcami usług są m.in. Narodowy Bank Polski,
Ministerstwo Finansów, Ministerstwo Infrastruktury czy MSWiA.
- Renoma założycieli naszej spółki oraz doświadczenie OPTeam
w systemach kartowych w dużej mierze przyczyniły się do naszego
sukcesu. Dodatkowo partnerem Polskich ePłatności, który gwarantuje
i nadzoruje rozliczanie transakcji kartowych jest Bank BPH, członek grupy
GE Capital. Bank pełni rolę Agenta Rozliczeniowego – mówi Justyna
Makara, Specjalista ds. Rozliczeń z Organizacjami Płatniczymi,
Centrum Rozliczeń Elektronicznych Polskie ePłatności SA.
Działania Spółki koncentrują się na obsłudze małych i średnich
sklepów, także tych, które dotychczas nie akceptowały kart. Znajduje
to odzwierciedlenie w wartości pojedynczej transakcji wykonywanej
w terminalach należących do PeP. Dla polskiego rynku wynosi ona
niewiele mniej niż 100 zł, dla PeP to 70 zł. Od początku działalności
firmy Polskie ePłatności dostarczają każdemu swojemu kontrahentowi
PIN pady z funkcją obsługi płatności zbliżeniowych, najwygodniejsze
do obsługi transakcji niskowartościowych. Dzięki konsekwentnej
realizacji strategii biznesowej na koniec I kwartału bieżącego roku
ponad 30 procent czytników zbliżeniowych dostępnych na rynku
należało do PeP.
- Od samego początku budujemy bezpieczną, odporną na wahania
koniunktury bazę klientów. Naszym fundamentem są sklepy, w których robimy
codzienne zakupy. Technologicznie i produktowo jesteśmy jednakże gotowi
do obsługi nawet najbardziej wymagających klientów. Posiadanie własnego
zaplecza IT tworzącego aplikacje do terminali POS czyni nas szybkimi
i elastycznymi w reakcji na zmieniające się wymagania rynku - mówi
Justyna Makara.
Branża informatyczna
IBM Usługi IT
Spółka, choć funkcjonuje na rynku od niedawna, ma już na swoim
koncie kilka spektakularnych sukcesów. W zakresie obsługi i rozliczeń
transakcji płatniczych realizowanych z użyciem terminali POS firma
współpracuje m.in. z siecią marketów Alma oraz księgarniami Matras.
Polskie ePłatności obsługują również płatności kartowe na Stadionie
Narodowym. Dzięki temu kibice uczestniczący w wydarzeniach
sportowych na największej arenie w Polsce mogą błyskawicznie
dokonywać zakupów dzięki terminalom POS z czytnikami
zbliżeniowymi. Polskie ePłatności zainstalowały na stadionie
ponad 200 sztuk takich urządzeń.
W 2004 roku branża kart płatniczych wprowadziła standard
ochrony informacji PCI DSS (Payment Card Industry Data Security
Standard), którego celem jest skuteczna ochrona danych posiadaczy
kart płatniczych oraz transakcji kartowych. Zgodnie z wymogami
PCI, wszystkie organizacje i firmy przechowujące, procesujące lub
przesyłające dane posiadaczy kart płatniczych oraz transakcji nimi
wykonywanych muszą spełniać wymogi tego standardu.
Rozwiązanie
Zgodność ze standardami PCI musi być
poświadczona certyfikatem z audytu
zgodności. Do przeprowadzenia audytu
spółka wybrała IBM. W ofercie IBM
Internet Security Systems (IBM ISS)
istnieje cała gama usług związanych
z PCI DSS. Ich zakres obejmuje wszystkie
formalne metody weryfikacji zgodności
z PCI DSS oraz usługi wspomagające
wdrożenie
standardu.
Realizacja
harmonogramu wdrożenia nie przyniosła
większych
trudności.
Natomiast
dostosowanie środowiska i całej organizacji
do wymogów PCI zajęło kilka miesięcy.
- Już podczas zakładania spółki wiedzieliśmy, że będziemy musieli być zgodni
z wymogami PCI DSS. Bez tej zgodności nasz biznes byłby niemożliwy.
Z jednej strony uzyskanie certyfikatu daje naszym partnerom pewność
współpracy z firmą, która gwarantuje najwyższy poziom bezpieczeństwa
w zakresie obsługi kart na terminalach POS, a z drugiej po prostu otwiera
drogę do prowadzenia działalności - mówi Justyna Makara.
Rozwiązanie
Centrum Rozliczeń Elektronicznych Polskie ePłatności SA
potrzebowało uzyskać zgodność ze standardami PCI DSS
stworzonymi wspólnie przez największe organizacje kart płatniczych:
Visa, MasterCard, Discover, American Express i JCB. Był to jeden
z warunków koniecznych do prowadzenia działalności.
- Firmy, które chcą uczestniczyć w procesie wykonywania transakcji
kartowych jak też rozliczania transakcji muszą być zgodne z tym standardem.
Niedostosowanie się do wymogów PCI DSS grozi poważnymi konsekwencjami
biznesowymi czy finansowymi – mówi Robert Tymiński, Project Manager
IBM.
Zgodność ze standardami PCI musi być poświadczona certyfikatem
z audytu zgodności. Dlatego pierwszą decyzją, jaką musiały podjąć
Polskie ePłatności był wybór firmy wspomagającej ich wdrożenie.
- W Europie jest dużo firm mających uprawnienia do wykonywania takich
audytów jednak ich oferty są trudne do porównania. W pierwszym etapie
wybraliśmy kilka podmiotów, z którymi chcieliśmy nawiązać współpracę.
Po wstępnych rozmowach ostatecznie zdecydowaliśmy się na ofertę IBM
- mówi Justyna Makara.
Branża informatyczna
IBM Usługi IT
IBM zostało wybrane ze względu na renomę firmy oraz możliwość
indywidualnego dostosowania standardu do potrzeb spółki. Dodatkowo
IBM jako jedyny z oferentów miał opcję przeprowadzenia audytu
w języku polskim.
W ofercie IBM Internet Security Systems (IBM ISS) istnieje cała gama usług
związanych z PCI DSS. Ich zakres obejmuje wszystkie formalne metody
weryfikacji zgodności z PCI DSS oraz usługi wspomagające wdrożenie
standardu.
- Projekt rozpoczęliśmy od rozpoznania środowiska i budowy scenariuszy prac.
Po stronie spółki wyznaczono grupę osób odpowiedzialnych za realizację każdego
z obszarów PCI. Kolejnymi krokami było wydzielenie środowiska danych kartowych,
stworzenie bezpiecznej sieci oraz bezpiecznego procesu rozwoju oprogramowania.
Wprowadzone zostały dodatkowe mechanizmy rejestrujące i raportujące operacje
wykonywane na danych wrażliwych. Opracowany został zestaw procedur i instrukcji
powiązanych z wymogami PCI oraz system szkoleń podnoszących wiedzę
i kwalifikacje personelu - mówi Magdalena Litwin, Specjalista ds. Nadzoru
Operacyjnego, Centrum Rozliczeń Elektronicznych Polskie ePłatności SA.
Korzyści
Wdrożenie standardu PCI DSS umożliwiło
Centrum
Rozliczeń
Elektronicznych
Polskie ePłatności SA prowadzenie swojego
biznesu. Dzięki ścisłej współpracy
z IBM firma stale utrzymuje zgodność ze
standardem bez względu na zmiany
jakie wykonuje w swoim środowisku
i w oparciu o najnowsze aktualizacje.
Spółka przez kilka najbliższych lat
chce znaleźć się w pierwszej trójce
“Acquier’ów” w Polsce. Realizacja
takiego założenia nie może odbywać
się poza określonymi wymogami PCI.
Ich spełnianie utwierdza partnerów firmy
w przekonaniu, że każda dana wrażliwa
jest przetwarzana i przesyłana przez
systemy PeP z zachowaniem najwyższych
standardów bezpieczeństwa i poufności.
- Wszystkie powyższe zadania wykonane były w ramach części konsultacyjnej
projektu, w której pomagaliśmy wskazać klientowi kierunki, w jakich powinien
rozwijać swoje środowisko, aby było ono zgodne ze standardami PCI. Jako jedno
z pomocniczych narzędzi stosowaliśmy skanowanie adresów IP klienta za pomocą
zewnętrznego portalu oferującego takie usługi. Zakres realizowanego projektu
obejmował również zapewnienie dostępu do tego portalu.. Po zakończeniu
wspomnianych prac, formalnym – ostatnim etapem projektu było przygotowanie
oficjalnego raportu zgodności ze standardami PCI – dodaje Robert Tymiński,
Project Manager IBM.
Standard PCI DSS obejmuje 6 obszarów tematycznych podzielonych
na 12 szczegółowych wymogów. Każda organizacja biznesowa, która
przetwarza, przesyła lub przechowuje dane kartowe jest zobowiązana do
spełnienia wszystkich wymogów standardu PCI DSS. W celu sprawdzania
zgodności z PCI DSS branża kart płatniczych wprowadziła różne poziomy
obowiązkowej weryfikacji. Poziomy weryfikacji zgodności są podzielone na
dwie grupy. Pierwsza grupa dotyczy sprzedawców akceptujących płatności
kartami. Druga dotyczy usługodawców, którzy świadczą usługi
teleinformatyczne związane z przetwarzaniem, przesyłaniem lub
przechowywaniem danych transakcji kartowych.
- Mieliśmy znacznie lepszą sytuację niż inne firmy działające na tym rynku
od lat. PCI jest stosunkowo nowym standardem, do którego nagle wszyscy zostali
zobowiązani. Dlatego opracowując strategię powstania firmy opieraliśmy wszystkie
procedury i rozwiązania systemowe właśnie o te standardy - mówi Magdalena
Litwin.
Realizacja harmonogramu wdrożenia nie przysporzyła większych
trudności, natomiast dostosowanie środowiska i całej organizacji
do wymogów PCI zajęło kilka miesięcy.
Korzyści
Wdrożenie standardu PCI DSS umożliwiło Centrum Rozliczeń
Elektronicznych Polskie ePłatności SA prowadzenie swojego biznesu.
Dzięki ścisłej współpracy z IBM firma stale utrzymuje zgodność
ze standardem bez względu na zmiany jakie wykonuje w swoim
środowisku i w oparciu o najnowsze aktualizacje.
- Chcemy być postrzegani jako najbardziej nowatorskie centrum
rozliczeniowe. Dynamika działania i błyskawiczna reakcja na wszystkie
pojawiające się na rynku nowinki techniczne i aplikacyjne tylko nas do tego
przybliżają. Nasza pozycja, która plasuje nas między małym zwrotnym
biznesem, a dużą korporacją pokazuje, że jesteśmy istotnym graczem na
rynku. W związku z tym klienci muszą mieć pewność, że współpraca z nami
jest w pełni bezpieczna. Chcemy charakteryzować się profesjonalizmem
i dbałością o każdy szczegół – mówi Magdalena Litwin.
© Copyright IBM Corporation 2012
IBM Polska Sp. z o.o.
ul. 1 Sierpnia 8
02-134 Warszawa
tel. (+48 22) 878 67 77
faks (+48 22) 878 68 88
ibm.com/pl
Spółka stawia przed sobą ambitne cele. Przez kilka najbliższych lat chce
znaleźć się w pierwszej trójce “Acquier’ów” w Polsce. Realizacja takiego
założenia nie może odbywać się poza określonymi wymogami PCI. Jest
to gwarancja dla partnerów firmy, że każda dana wrażliwa przetwarzana
i przesyłana przez systemy PeP posiada najwyższy stopień
bezpieczeństwa.
Standardy PCI DSS dotyczą zarówno agentów rozliczeniowych, jak też
większych podmiotów procesujących określone limity transakcji, które
zobowiązane są do posiadania certyfikatu zgodności ze standardem PCI
DSS.
Wyprodukowano w Polsce
Wszelkie prawa zastrzeżone IBM
i logo IBM są znakami towarowymi lub
zastrzeżonymi znakami towarowymi firmy
International Business Machines
Corporation w Stanach Zjednoczonych
i/lub w innych krajach. Nazwy innych
przedsiębiorstw, produktów i usług mogą
być znakami towarowymi lub znakami
usług innych podmiotów.
- Więksi klienci (z dużą liczbą oddziałów, transakcji) teoretycznie powinni
we własnym zakresie zadbać o uzyskanie certyfikatu zgodności ze standardem
PCI DSS. Jednak podchodząc do tego biznesowo chcielibyśmy sami oferować
taką usługę. Obecnie dbamy o bezpieczeństwo za wszystkich małych klientów
korzystających z naszych usług. Dla przykładu jeżeli jakiś punkt sprzedaży
chce uruchomić płatności kartowe, to my dbamy o zachowanie standardów
bezpieczeństwa. Natomiast dzięki ofercie IBM będziemy mogli także wziąć
pod uwagę oferowanie takich standardów dla wszystkich potencjalnych
klientów. Tych małych i tych dużych – mówi Justyna Makara.