Кейс | NDA
object
storage
Облако для финансового сектора

Преимущества облака для финансового сектора
PCI DSS
ГОСТ Р 57580.1-2017
domens
Оценка после аудита
R = 0,92

Кому требуется облако с сертификацией

Провайдеры онлайн-платежей

Банки и Финтех-компании

E-commerce и мерчанты
Защита ваших данных
SOС
Работаем с персональными данными
Храним информацию в РФ
в разработке
Надежный ЦОД Tier III

Усиленная защита
экосистема сервисов Инферит
Гибкое масштабирование
Без риска Vendor Lock-in
Оплата по потреблению (PAYG)
Поддержка всех ОС
inferit
В реестре Минпромторга
Российское ПО
Сервисная и техническая поддержка
Поддержка, которую ставят в пример
ask us
Какой уровень защиты нужен вашей компании?
На связи 24/7/365.
На деле, а не на словах
Отвечаем за 5 минут
85% заявок решаем в день обращения
tasks
discuss
Получить КП

также может заинтересовать
Новости и мероприятия
IT-Ось 2025
Digital Transformation Day 2025
Конференция TAdviser «ИТ-приоритеты 2025»
Ответы на вопросы
- Что такое PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) — это международный стандарт безопасности для организаций, которые работают с платежными картами. Это набор требований, разработанный крупнейшими платежными системами (Visa, MasterCard и другими), чтобы защитить данные держателей карт при их обработке, хранении и передаче.
Если ваша компания принимает, обрабатывает или хранит данные платежных карт, вам необходимо соответствовать этому стандарту. Это как своего рода свод правил безопасности, который помогает минимизировать риски утечек данных и мошенничества с картами. Несоблюдение требований PCI DSS может привести к серьезным штрафам и потере возможности работать с платежными картами.
- На кого распространяются PCI DSS?
PCI DSS распространяется на все организации, которые каким-либо образом участвуют в обработке данных платежных карт. Это включает:
- Продавцов (магазины, рестораны, онлайн-сервисы), принимающих к оплате банковские карты;
- Банки и финансовые организации, выпускающие карты или обрабатывающие платежи;
- Процессинговые центры и платежные шлюзы;
- Сервис-провайдеров, предоставляющих услуги организациям из перечисленных выше категорий, если эти услуги связаны с обработкой или хранением данных карт.
Важно понимать, что требования применяются независимо от размера организации или количества обрабатываемых транзакций.Однако объем требований может различаться. Например, для компании, обрабатывающей миллионы транзакций в год, требования будут строже, чем для небольшого магазина с несколькими транзакциями в день.
- Какие уровни защиты есть в PCI DSS?
В PCI DSS существует 4 уровня соответствия, которые определяются в основном по объему транзакций за год:
- Level 1 — при совершении более 6 млн транзакций;
- Level 2 — 1–6 млн транзакций;
- Level 3 — 20 000–1 млн транзакций;
- Level 4 — менее 20 000 транзакций в среде электронной коммерции или менее 1 млн по торговому эквайрингу.
- Кто проводил аттестацию «Инферит Облако»?
Процедуру приведения в соответствие с требованиями законодательства прошла вся информационная система провайдера. Это технические и программные средства для функционирования облачной инфраструктуры. Аттестация проводилась специалистами центра ООО «Кард сек».
- Какие еще есть меры защиты в «Инферит Облако»?
Решения «Инферит Облако» полностью соответствуют требованиям российского законодательства в области хранения и обработки персональных данных (152-ФЗ, 21 приказ ФСТЭК УЗ-1), что важно для государственных организаций и компаний, работающих с чувствительной информацией. Все данные хранятся только на территории РФ (242-ФЗ). Также провайдер усилил инфраструктуру с помощью центра реагирования и мониторинга (SOC). Инфраструктура размещается в ЦОД Tier-III, периметр защищен межсетевыми экранами нового поколения (NGFW) и отечественным решением 2FA.
- Могут ли специалисты «Инферит Облака» проконсультировать по безопасности нашего проекта?
Да, мы можем провести предварительную консультацию по вашему проекту. На таких консультациях мы обычно разбираем, какие данные будут обрабатываться, какие нормативные требования нужно учесть, какие технические меры защиты потребуются, и как лучше организовать процессы безопасности.
- Что такое ГОСТ Р 57580.1-2017?
ГОСТ Р 57580.1-2017 — это российский национальный стандарт безопасности, который устанавливает требования к защите информации в финансовых организациях. Это документ, который говорит банкам и другим финансовым компаниям, как они должны защищать свои информационные системы.
Стандарт разработан Центральным Банком России и является обязательным для кредитных организаций, операторов платежных систем и других участников финансового рынка. Он охватывает все аспекты информационной безопасности — от технических мер защиты до организационных процессов и работы с персоналом.
- На кого распространяются ГОСТ Р 57580.1-2017?
ГОСТ Р 57580.1-2017 обязателен для следующих организаций в России:
- Банки и кредитные организации;
- Операторы платежных систем;
- Операторы услуг платежной инфраструктуры;
- Некредитные финансовые организации (страховые компании, брокеры, управляющие компании);
- Биржи и торговые площадки;
- Организации финансового рынка, поднадзорные Банку России.
При этом важно отметить, что организации, которые предоставляют услуги перечисленным выше компаниям (например, облачные провайдеры или ИТ-интеграторы), также должны обеспечивать соответствие этому стандарту в части оказываемых услуг, если они затрагивают защищаемую информацию финансовых организаций.
- Какие уровни безопасности предусматривает ГОСТ Р 57580.1-2017?
В ГОСТ Р 57580.1-2017 определены 3 уровня защиты информации:
Усиленный уровень (1 уровень):- Самый строгий уровень защиты;
- Применяется к критически важным системам банков и крупных финансовых организаций;
- Требует выполнения максимального числа мер защиты.
Стандартный уровень (2 уровень):
- Средний уровень защиты;
- Применяется к большинству финансовых организаций;
- Включает основной набор мер безопасности.
Минимальный уровень (3 уровень):
- Базовый уровень защиты
- Применяется к небольшим финансовым организациям или системам с минимальными рисками
- Содержит минимально необходимый набор мер защиты
Уровень защиты определяется на основе оценки рисков и требований регулятора (Банка России) к конкретной организации.
- Как разграничиваются зоны ответственности?
«Инферит Облако» предоставляет готовое решение для размещения и обработки чувствительной информации. В этот перечень входит:
- Физическая безопасность инфраструктуры, включая дата-центры, серверы и сети
- Обеспечение сетевой безопасности
Поддержание актуальности систем защиты - Соответствие наивысшему уровню защиты согласно требованиям ФСТЭК России
- Техническая поддержка и консультация по вопросам безопасности
Клиент организует безопасность своих проектов.
- Настройка политик доступа к данным
- Регистрация в Роскомнадзоре в статусе оператора персональных данных
- Управление учётными записями пользователей
- Соблюдение организационных мер защиты персональных данных.