Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Решения SafeNet в области безопасности: 7 из 12 требований PCI DSS

(Нет голосов)

14.05.2009 Количество просмотров 965 просмотров

Программно-аппаратные продукты и решения компании SafeNet помогают участникам рынка платежных карт достичь «PCI DSS Compliance»
Вадим Калмыков, генеральный директор компании DataSecurity Technologies

По мере увеличения количества угроз компрометации данных о потребителях и повышения требований к защите этих данных в любой сфере бизнеса, связанного с розничным обслуживанием, участники рынка вынуждены сосредоточивать свое внимание на эффективности инфраструктуры обеспечения безопасности. Соответствующие требования предъявляются сегодня не только государственными регулирующими структурами, но и регуляторами индустрии платежных карт, где уровень рисков по понятным причинам наиболее высок.

На этом фоне еще в 2004 г. ведущими международными платежными системами был разработан Стандарт безопасности данных индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard), определяющий требования к хранению, обработке и передаче данных держателей карт. Стандарт представляет собой единый набор требований к безопасности данных держателей платежных карт, объединяя в себе требования ряда программ по безопасности American Express, Discover Card, JCB International, MasterCard Worldwide и Visa Inc.

Стандарт содержит 12 направлений обеспечения безопасности, включая вопросы обеспечения сетевой защиты, безопасной передачи данных, своевременной установки патчей системного программного обеспечения, постоянного аудита системы и действий сотрудников, разграничения доступа к системам и функциям системы, а также безопасного хранения данных держателей карт. Действие PCI DSS распространяется на всех участников платежного процесса, включая торгово-сервисные предприятия, процессинговые центры и финансовые организации, работающие с международными платежными системами, т. е. на все структуры, которые передают, обрабатывают и хранят данные держателей карт.

Изначально международные платежные системы требовали от своих участников и торгово-сервисных предприятий, принимающих карты, обеспечить соответствие стандарту на территории США и Западной Европы, применяя штрафные санкции за невыполнение данных требований.

Для других регионов требования PCI DSS были также обязательны, но никаких санкций за их невыполнение предусмотрено не было. Однако с сентября 2006 года Visa Int. объявила, что в рамках программы Visa Account Information Security за непрохождение аудита по стандарту PCI DSS торгово-сервисными предприятиями и поставщиками услуг (процессинговыми центрами, платежными шлюзами, интернетпровайдерами), работающими с Visa Int. на территории стран региона Visa CEMEA, будут взиматься штрафы. Аналогичную политику проводит сегодня и MasterCard Worldwide в регионе MasterCard Europe в рамках своей программы MasterCard Site Data Protection. Учитывая, что Россия входит в оба эти региона, данные шаги послужили мощным стимулом к внедрению стандарта российскими банками.

Регулярно появляющиеся в прессе сообщения о компрометации данных держателей платежных карт, включая недавний случай с американским сервис-провайдером Heartland Payment, через сети которого ежемесячно проходит около 100 млн  финансовых транзакций, демонстрируют, что хотя требования стандарта сфокусированы прежде всего на защите потребителя, достижение «PCI DSS Compliance» и обеспечение требуемого стандартом уровня информационной безопасности – это залог сокращения потенциального ущерба от инцидентов безопасности, повышение устойчивости бизнес-процессов и, в конечном итоге, сохранение своей репутации и клиентской базы для всех участников рынка, будь то банк-эквайер, процессинговая компания или торгово-сервисное предприятие. Таким образом, сегодня постепенно меняется довольно распространенное до недавнего времени мнение части банковского сообщества о том, что проходить аудит по PCI DSS, а также выполнять все требования стандарта совсем необязательно, поскольку deadline по соответствию постоянно сдвигается, а вероятность реального применения регуляторами штрафных санкций остается под вопросом. Напротив, все больше компаний понимает, что инициировать довольно непростой и трудоемкий проект по достижению соответствия требованиям PCI DSS жизненно необходимо.

Визитная карточка

DataSecurity Technologies

Компания DS Technologies (http://www.datasec/. ru) является дистрибутором ряда зарубежных вендоров и занимается поставками криптографического оборудования банкам – участникам международных платежных систем, а также средств для защиты информации на всех стадиях ее жизненного цикла для компаний и корпораций. Мы предлагаем решения в следующих направлениях: • цифровая аутентификация пользователей • шифрование информации при хранении (диски, файлы, файловые серверы) • шифрование баз данных • защита информации при передаче по сетям различного типа • защита интеллектуальной собственности. DS Technologies работает в соответствии с индивидуальными требованиями и потребностями заказчика, используя творческий подход в решении самых нестандартных задач.

Визитная карточка

SafeNet

Компания SafeNet (http://www.safenetinc/. com) – один из мировых лидеров в области решений для обеспечения информационной безопасности. Основанная более 25 лет назад, компания с помощью разработанных специалистами SafeNet технологий шифрования обеспечивает полномасштабную защиту информации на всех уровнях ее жизненного цикла. Компания предлагает широкий спектр продуктов, включая аппаратные решения и программное обеспечение, а также микропроцессоры. В числе клиентов компании – ARM, Bank of America, Cisco Systems, Министерство обороны и Министерство национальной безопасности США, Microsoft, Samsung, Texas Instruments, Налоговое управление США и ряд других государственных и коммерческих структур, которые доверяют защиту своей информации решениям SafeNet.

Полный текст статьи читайте в журнале "ПЛАС" 4 (144) ’2009 сc. 55 - 59


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первая в мире массовая коммерческая эмиссия чиповых карт состоялась в США в 1986 г. (банками-эмитентами выступали Bank of Virginia и Maryland National Bank с чипами Bull CP8, а также First National Palm Beach Bank и Mall Bank – с чипами Casio)?