Если информационная система, где обрабатываются данные о держателях платежных карт, размещается на аутсорсинговой площадке, последняя также должна отвечать требованиям безопасности стандарта PCI DSS. Последний был разработан участниками рынка платежных систем, в том числе Visa, MasterCard, American Express и является своего рода «знаком качества» в обеспечении ИБ, гарантируя защищенность сервиса или системы.
Теперь заказчики «Крок» — финансовые организации, онлайн-ритейл, провайдеры и другие компании, принимающие платежи по банковским картам от клиентов через свои сайты — могут быть уверены, что они переносят свои сервисы на защищенную по мировым стандартам облачную платформу с двойными гарантиями отказоустойчивости.
Подготовка облачной платформы, включая ЦОД, виртуальную инфраструктуру и процессы эксплуатации на соответствие требованиям PCI DSS заняла более одного года. В результате усовершенствовано облако «Крок»: проведена ревизия всех его компонентов, особое внимание уделено сетевым механизмам.
Сертификацию проводила Digital Compliance, дочерняя компания Digital Security, специализирующаяся на ИБ-комплаенсе для финансовых организаций и платежных систем. Выданный ею документ — аттестат соответствия — гарантирует заказчикам безопасное хранение и обработку платёжных данных своих клиентов. Кроме того, он позволяет заказчикам существенно упростить аттестацию своих облачных сервисов и сэкономить время на верификацию соответствия всем требованиям стандарта, осуществляемую командой «Крок», аудитора и заказчика.
Одним из требований стандарта являются тесты на проникновение. Это симуляция «взлома» облачной платформы, которую проводила компания Digital Security. Облако «Крок» испытание прошло успешно: его устойчивость и соответствие строгим требованиям в области информационной безопасности было подтверждено аудитором.