Hírek, aktualitások

Partnereink számára is mérföldkő a VCC Pay szolgáltatás tanúsítványa


VCC Pay szolgáltatás tanúsítványa - VCC Blog illusztráció

A napokban vehettük át a nemzetközi kártyatársaságok által kibocsátott PCI DSS tanúsítványt, mely fontos állomás a VCC életében: ezzel az elismeréssel nem csak a Pay szolgáltatásunkon belül történő fizetések biztonságát garantáljuk, hanem a teljes üzleti működésünk kiszámíthatóságát is.

Korábban már hírt adtunk arról, hogy hosszú fejlesztési munkánk eredményeként élesedhet új szolgáltatásunk, a VCC Pay. A telefonon keresztüli, valós időben, operátori támogatással indítható bankkártyás fizetési megoldásunk nem csak a több mint egy éves technikai előkészület miatt fontos mérföldkő számunkra – azért is, mert egy komoly nemzetközi audit-folyamat végén illeszthettük a rendszerünkbe.

Ahhoz ugyanis, hogy a bankkártyás fizetéssel kapcsolatos adatokat dolgozhasson fel a VCC felhő szolgáltatása, a teljes céget érintő biztonsági felmérésen és átalakításon kellett átesnünk. Ennek feltételrendszerét az öt legnagyobb kártyatársaság – köztük a Master Card, a Visa és az AMEX – alakította ki, és PCI DSS néven teljes körű szabályozást jelent az IT-biztonság technikai részleteitől a nagyobb léptékű üzleti kockázatokig.

a VCC megkapta a nemzetközi kártyatársaságok által kibocsátott PCI DSS tanúsítványt
A PCI auditálási folyamat részét előzetes kockázati felmérések, dokumentumvizsgálatok, személyes interjúk, működési bizonyítékok képezik, összesen 600 biztonsági követelményt szem előtt tartva. A Virtual Call Center esetében ez közel két éves előkészítést, több mint 1000 munkaórányi együttműködést, 20 óránál is több audit-interjút és több ezer rekordnyi saját adatfelvitelt jelentett. A vizsgálat egyik legérdekesebb része a sérülékenységvizsgálat, vagyis a több lépcsős etikus hackelés volt, mely során minden követelménynek megfeleltünk.

A magyarországi ellenőrzést PCI Council QSA auditori jogosítvánnyal végző cég, az Apersky a teljes tanácsadói vizsgálat során alig 5 olyan esetet talált, mely kapcsán módosításokat kellett végeznünk. Az audit végén az Apersky ügyvezetője, Tátrai Péter a teljes VCC-csapat jelenlétében nyújtotta át a tanúsítványt.

Egy blogbejegyzésünkben utaltunk arra, hogy a PCI DSS tanúsítvány üzleti partnereink számára is garanciát jelent, és hosszú távon ügyfeleink is láthatják előnyeit. Mit is jelent ez pontosan? A tanúsítvány, mivel a cég összes kockázatot jelentő üzleti folyamatát ellenőrzi, teljes körű minőségbiztosításként is értelmezhető ügyfeleink számára. Eddig is szigorú biztonsági feltételeket szabtunk magunknak és üzleti partnereinknek, de a PCI DSS tanúsítvány birtokában még pontosabb és átláthatóbb szempontok szerint tudunk együttműködni a hasonló biztonsági elveket valló, alacsony kockázatú cégekkel.

A tanúsítványnak való megfelelés nem ért véget annak megszerzésével. Az IT- és minőségbiztosítási rendszerünkhöz (együttesen: QISMS – Quality and Information Security Management System) további tanúsítások tartoznak, mint például az ISO 27001. A PCI DSS éves felülvizsgálatra és sérülékenységvizsgálatra kötelezi a céget, és mi magunk is keressük azokat a módszereket, melyekkel még kifinomultabban működhet saját szabályozási rendszerünk.