Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

PCI DSS – прогресс по всем азимутам

(Нет голосов)

14.10.2008 Количество просмотров 1026 просмотров

В связи с ожидающимся в ближайшее время выпуском обновленной версии стандарта PCI DSS корреспондент журнал «ПЛАС» встретился с представителями международной консультационно-сервисной компании Sysnet, специализирующейся на вопросах обеспечения информационной безопасности и ведущей свою деятельность в целом ряде регионов мира, включая СНГ. Так, в 2008г. компания открыла свое представительство в Киеве. В ходе беседы мы попросили Вивиана Даффа, коммерческого директора компании Sysnet по региону СНГ, рассказать, какие конкретные успехи в процессе внедрения PCI DSS достигнуты на данный момент участниками индустрии, а также дать полезные советы тем из них, кто пока еще не поторопился осуществить какие-либо реальные шаги в данном направлении, но желает наверстать упущенное.

Положительный момент настоящей ситуации заключается в том, что недавно представленный Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council) обзор предстоящих изменений в стандарте PCI DSS – версия 1.2 – не предусматривает введение каких-либо серьезных новых требований в дополнение к уже существующим двенадцати, действующим изначально. Следует отметить, что выпуск пересмотренной версии PCI DSS осуществляется в полном соответствии с изначально согласованным процессом жизненного цикла Стандарта, который предусматривает его пересмотр и обновление с периодичностью раз в два года. Как отмечает PCI Security Standards Council, основные изменения в версии 1.2 представляют собой разъяснения и комментарии к существующим требованиям.

Вивиан Дафф (Vivian Duff) –
коммерческий директор компании
Sysnet по региону СНГ

Вивиан Дафф (Vivian Duff) – коммерческий директор компании Sysnet по региону СНГ. Отвечает за развитие деловых отношений между Sysnet и ее банками-партнерами в данном регионе.

Вивиан Дафф – опытный менеджер с богатым опытом в области предоставления услуг оценки информационной безопасности. Принимал активное участие в реализации ряда проектов по обеспечению соответствия международным стандартам PCI DSS и ISO 27001, включая проекты государственных структур Ирландии, таких как Министерство обороны, Главное контрольно-финансовое управление, Комиссия налогового управления, Управление национальных дорог, проекты нескольких крупных банков, в том числе Первого Украинского Международного банка (ПУМБ), Укрэксимбанка, Надра банка, Allied Irish Bank, а также проекты компаний, включая OpenWay, Elavon Financial Services и др.

С момента своего назначения на должность коммерческого директора компании Sysnet В. Дафф стал ключевым инициатором развития деловых связей компании за рубежом, в результате чего она установила тесные партнерские отношения с местными банками, сервис-провайдерами и торгово-сервисными предприятиями в более чем 24 странах региона CEMEA. По инициативе В. Даффа был создан офис Sysnet в Киеве и сформирована команда из местных специалистов и консультантов по вопросам информационной безопасности, которая обеспечивает запросы банков, ведущих свою деятельность в этом быстроразвивающемся регионе и оказывающих услуги с поддержкой русского языка.

Благодаря назначению на ключевые посты опытных специалистов компания Sysnet добилась быстрого роста количества клиентов из числа банков, которые приняли решение использовать ресурсы Sysnet в целях обеспечения соответствия своих структур требованиям стандарта PCI DSS. В.Дафф твердо уверен, что статус независимого провайдера услуг Sysnet и ее приверженность интересам клиентов является ключом к настоящему и будущему успеху компании в данном регионе.

В обозримом будущем В. Дафф предполагает создание еще одного зарубежного офиса компании, который будет расположен в Москве. Его задачами станут управление поддержкой растущего числа клиентов, которые нуждаются в международном консультационном опыте Sysnet, для оказания им эффективной помощи в обеспечении соответствия современным требованиям в области обеспечения информационной безопасности банковского сектора и платежных систем.

Положительный момент настоящей ситуации заключается в том, что недавно представленный Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council) обзор предстоящих изменений в стандарте PCI DSS – версия 1.2 – не предусматривает введение каких-либо серьезных новых требований в дополнение к уже существующим двенадцати, действующим изначально. Следует отметить, что выпуск пересмотренной версии PCI DSS осуществляется в полном соответствии с изначально согласованным процессом жизненного цикла Стандарта, который предусматривает его пересмотр и обновление с периодичностью раз в два года. Как отмечает PCI Security Standards Council, основные изменения в версии 1.2 представляют собой разъяснения и комментарии к существующим требованиям.

Стандарт безопасности данных индустрии платежных карт (PCI DSS) был разработан международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc. в 2004г. в качестве единого набора требований к безопасности данных, объединившего в себе требования ряда программ по безопасности этих платежных систем. Цель данного стандарта состоит в обеспечении защиты данных держателей карт и предотвращении случаев мошенничества с картами путем повышения уровня безопасности в индустрии в целом. Действие PCI DSS распространяется на все торгово-сервисные предприятия, процессинговые центры, кредитно-финансовые организации и поставщиков услуг, работающих с международными платежными системами, т.е. на любую компанию или организацию, которая передает, обрабатывает и хранит конфиденциальные данные держателей карт.

7 сентября 2006г. платежные системы American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa International выступили с совместным заявлением о создании независимого Совета по стандартам безопасности (PCI Security Standards Council), основным направлением деятельности которого стала координация работы по разработке и развитию PCI DSS.

По оценкам экспертов, это событие стало закономерным этапом в деятельности платежных систем по защите данных держателей карт, подчеркивающим исключительно важное значение этой задачи в мировом масштабе. Создав независимый Совет для работы над стандартом безопасности PCI, его основатели развивают систему, максимально доступную и эффективную для всех участников платежного процесса, включая торгово-сервисные предприятия, процессинговые центры и финансовые организации.

Совет действует как консультационная группа и осуществляет общую разработку стандартов безопасности PCI. Каждый участник данной структуры имеет возможность предлагать изменения, вносить вклад в будущие проекты, участвовать в разработке дополнений к стандартам безопасности, а также влиять на деятельность организации в целом. Кроме того, организации-участники имеют право выбирать и быть избранными в консультативный орган Совета по стандартам безопасности PCI.

В числе стоящих перед Советом задач – развитие и укрепление глобального стандарта безопасности технических данных для защиты информации о держателях карт, снижение издержек и сроков внедрения Стандарта безопасности данных путем создания единых технических стандартов и процедур проверки для использования всеми платежными системами, а также создание базы данных квалифицированных разработчиков решений в области безопасности.

Новая структура начала свою деятельность с принятия стандарта информационной безопасности PCI Data Security Standard v. 1.1, направленного на определение уровня обеспечения безопасности информации о держателях карт, а также с формирования рекомендаций для торгово-сервисных предприятий, производителей и поставщиков программных решений и терминального оборудования о мерах, необходимых для повышения уровня защиты используемого программного обеспечения. При этом каждая платежная система по-прежнему несет ответственность за внедрение собственных стандартизованных программ в данной области.

Несмотря на то что стандарт предъявляет ко всем структурам, работающим с международными платежными системами, весьма высокие требования, расходы по которым придется нести самому участнику рынка, преимущества участников индустрии от обеспечения соответствия PCI DSS неоспоримы.

Всевозрастающее количество рисков компрометации данных держателей карт и случаев взломов систем, работающих с картами, обусловливает необходимость более строгого контроля обеспечения защиты конфиденциальных данных держателей карт. Если говорить только о наиболее масштабных преступлениях в карточной индустрии за последние годы, можно привести весьма обширный перечень «успешных инициатив» киберпреступников. Так, в 2005г. американская процессинговая компания Card System Solutions заявила о компрометации преступниками конфиденциальных данных более 40 млн. держателей карт. В январе 2007г. хакеры получили доступ к данным приблизительно 100 млн. карт компании TJX, оператора дисконтных сетей T.J. Maxx в США и TK Maxx в Европе. Уже сравнительно недавно, в нынешнем 2008 году, более 12 млн. клиентов пострадали в результате нарушения политики безопасности в Bank of New York Mellon, в результате чего были скомпрометированы конфиденциальные данные держателей карт, включая реквизиты документов социального обеспечения, фамилии, адреса и даты рождения. Сегодня, наученный горьким опытом, этот банк тщательно пересматривает свою политику в области обеспечения безопасности и процедур, а также предпринимает необходимые шаги, чтобы гарантировать введение лучших в индустрии мер безопасности во всех направлениях своего бизнеса.

Доверие держателей карт к различным компаниям и организациям, имеющим доступ к их персональной информации, на котором, собственно, и зиждется успешная деятельность международных платежных систем по всему миру, было заметно подорвано этими случаями нарушения условий обеспечения безопасности, получившими широкий резонанс во всех регионах. Таким образом, для того чтобы повысить уровень доверия конечных пользователей, сегодня жизненно важно обеспечить соответствие стандарту PCI DSS. Сокращение до минимума возможности нарушения политики безопасности системы и утечки конфиденциальных данных восстановит доверие держателей карт и в то же самое время поможет избежать огромных потерь, которые могут стать результатом подобных нарушений, не говоря уже о зачастую непоправимом ущербе для репутации того или иного участника рынка.

Итак, чего мы достигли на данный момент? Насколько активно и успешно проходят сегодня банки сертификацию на соответствие PCI DSS?

Начнем с того, что в разных регионах текущая ситуация может сильно различаться. Так, например, в США этот процесс ускорился в связи с угрозой крупных штрафов и судебных санкций, которые применяются в случае компрометации данных держателей карт.

В Европе, где соответствующие аспекты законодательства еще не столь развиты, прогресс идет медленнее. При этом в настоящее время в странах Европейского союза члены международных платежных систем выполняют ревизии своих систем с целью приведения их в соответствие с PCI DSS на добровольной основе. Однако в будущем, вероятнее всего, им придется действовать уже не только по своей инициативе, но и под влиянием мер принудительного характера.

В свою очередь, в регионе СНГ значительное количество банков, включая российские кредитные учреждения, уже заключило соглашения с организацией Qualified Security Assessors (QSA), и сегодня они постепенно продвигаются в направлении обеспечения соответствия Стандарту.

Согласно требованиям международных платежных систем, все компании и организации, которые передают, обрабатывают или хранят конфиденциальные данные держателей карт, должны пройти аудит на соответствие PCI DSS. Очевидно, что такой аудит может быть выполнен только компанией, сертифицированной платежными системами на подобную деятельность.

Ярким примером здесь выступает Sysnet, которая обладает статусом PCI Qualified Security Assessor с 2005 г. В настоящее время Sysnet является ведущим партнером для банков на рынке Украины и стремительно распространяет свою деятельность на другие страны региона СНГ.

Итак, что же привлекает компанию Sysnet в регионе СНГ? Мы гордимся тем, что поставляем нашим клиентам высокоэффективные кастомизированные решения, разработанные с учетом конкретных задач, стоящих перед нашими клиентами. Мы предоставляем заказчикам профессиональную объективную консультационную и сервисную поддержку, которая позволяет им достигнуть соответствия стандарту PCI DSS. Что отличает компанию Sysnet от большинства ее конкурентов? Прежде всего это наличие у нашей компании сертификата на оказание услуг аккредитации на соответствие международному стандарту ISO 27001. Мы являемся «независимым поставщиком услуг», не связанным с какими-либо конкретными вендорами или иными заинтересованными структурами. Таким образом, если компанией выявлена проблемная область в политике безопасности того или иного заказчика, то мы имеем возможность предлагать беспристрастные практические консультации для наиболее эффективного решения конкретной проблемы. Так, например, очевидно, что те структуры, которые уже начали процесс сертификации на соответствие требованиям стандарта PCI DSS, находятся на правильном пути, но что можно сказать о тех, кто еще не предпринял реальных шагов в данном направлении? Не упущено ли ими время? Большинство банков уже начали по меньшей мере обращаться к QSA за помощью в достижении соответствия стандарту. Но и для тех, кто этого пока не сделал, сегодня еще не слишком поздно приступить к реализации такого рода инициатив. В зависимости от уже имеющегося практического уровня соответствия Стандарту та или иная структура может подготовиться к аудиту по PCI DSS как минимум за три месяца. Однако, если требуются значительные инфраструктурные изменения, то может потребоваться 1–2 года, а то и более длительное время. В целом, как показывает практика, чем крупнее организация и чем более давно она создана, тем больше ей требуется времени для осуществления необходимых изменений в целях обеспечения соответствия Стандарту.

Так, если говорить о банках-эквайерах, то они должны не только обеспечить свое собственное соответствие PCI DSS, но также несут дополнительную ответственность за обеспечение работы в этом направлении своих мерчантов в соответствии c требованием платежных систем. В порядке осуществления части данного процесса кредитно-финансовые учреждения должны сообщать платежным системам о статусе своих мерчантов в том формате, которого требует каждая из них. Поскольку количество мерчантов велико, многим банкам будет достаточно сложно руководить программой, которая предусматривает достижение их мерчантами реальных успехов в этом направлении. По этой причине компания Sysnet разработала решение Securus, основанное на комплексных услугах управления докладами мерчантов. Это чрезвычайно гибкое решение, разработанное для удовлетворения специфических потребностей каждого банка и эквайера, от полного аутсорсинга управления процессом подготовки мерчантов к соответствию PCI DSS до оказания помощи, как часть внутренней команды PCI DSS.

Интернет-портал Securus предоставляет мерчантам информационную поддержку и иную помощь, необходимую для завершения процесса обеспечения соответствия стандарту PCI DSS. В своею очередь, банку-эквайеру Securus предоставляет различные возможности для мониторинга, анализа рисков и обеспечения отчетности. Используя данный портал, мерчанты должны заполнить предложенную web-форму, ответив на перечень конкретных вопросов, на основании чего они смогут определить, требуется ли им дальнейшая оценка их готовности к аудиту по PCI DSS или некие корректирующие действия. Прогресс каждого конкретного мерчанта в данном направлении постоянно отслеживается, и сообщения о результатах поступают в банк-эквайер в режиме реального времени. Хотя компания Sysnet управляет этой системой централизованно, данное решение можно адаптировать под требования конкретного банка. Решение Securus обеспечивает существенную помощь банкам-эквайерам, которым приходится управлять тысячами своих мерчантов на пути обеспечения их соответствия Стандарту.

Мы поставили перед собой очень амбициозные цели во многих регионах, включая СНГ. Недавно мы открыли свой офис на рынке Украины, и теперь там активно работают как менеджеры, так и технические специалисты Sysnet для поддержания нашего быстрорастущего бизнеса в этом регионе.

Текст статьи читайте в журнале "ПЛАС" 8 (138) ’2008 сс. 32-34

 


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первый в США сервис мобильного банкинга был запущен Wells Fargo в 2002 г., но так как число пожелавших воспользоваться этой услугой ограничилось всего 2500 клиентами, банк вскоре убрал мобильный банкинг из списка своих сервисов?