PCI Card Production and Provisioning версии 2.0 - ответ «мобильным» вызовам
Кристина Андреева, инженер по защите информации компании Deiteriy, CISA, PCI QSA
Напомню, что действие стандарта распространяется на такие операции, как изготовление платежных карт, кодирование и запись магнитной полосы, эмбоссирование данных на карте, инициализация, внедрение и персонализация чипа, хранение карт, их перевозка и отправка.
Акцент на мобильные технологии
Публикация новой версии стандарта и количество нововведений, относящихся к мобильным технологиям, свидетельствует о том, что Совет PCI SSC о них не забывает. Еще в 2012 году Совет выпустил ряд рекомендаций по мобильным платежам: две версии документа «PCI Mobile Payment Acceptance» – одна для мерчантов и конечных пользователей, а другая для разработчиков.
А на PCI DSS Middle East Forum в 2016 году Совет выразил свою озабоченность следующими проблемами в работе с мобильными устройствами: вездесущая неосведомленность пользователей, подключение к небезопасным сетям передачи данных, потеря устройств или же их кража и использование слабых паролей доступа к устройствам. Да и в целом критичную информацию нетрудно перехватить с использованием сотовой связи, Wi-Fi-каналов, бесконтактных технологий и путем внедрения различных вредоносов.