Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

PCI DSS: обратная сторона медали

(Нет голосов)

14.05.2009 Количество просмотров 1324 просмотра

Как известно, повышение безопасности индустрии платежных карт – основная задача Стандарта безопасности данных индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard), определяющего требования к хранению, обработке и передаче данных держателей карт, а также независимого Совета по стандартам безопасности индустрии платежных карт PCI SSC (PCI Security Standards Council, созданного в сентябре 2006 г. в рамках совместной инициативы American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc. для координации работы по разработке и дальнейшему развитию PCI DSS. Итак, попробуем проанализировать, насколько успешно эта задача решается в индустрии платежных карт на современном этапе.

Зачем нужен PCI DSS?

Не рассматривая сам стандарт, выделим одно из основных его требований: необходимость защищать, обычно криптографическими средствами, номер платежной карты. По данным компании VeriSign, которая ежегодно проводит более 100 аудиторских проверок на соответствие стандарту PCI DSS, невыполнение данного требования – самая распространенная причина (79%) непрохождения процедуры сертификации на соответствие стандарту. На первый взгляд, данное требование является вполне оправданным, т.к. должно предотвратить компрометацию банковских счетов и хищение размещенных на них денежных средств. Однако при более глубоком анализе возникает ряд вопросов, ответы на которые не делают данное требование столь однозначно оправданным и очевидным.

Обычно необходимость шифровать номер карты при его хранении аргументируется тем, что при хищении зашифрованных данных, например, из процессинговых центров, их компрометации не произойдет. То, что такие утечки иногда происходят, можно подтвердить, вспомнив известный инцидент, произошедший в июне 2005 года в компании CardSystems Solutions, когда были похищены около 40 млн номеров карт.

Но давайте посмотрим, что именно способен сделать злоумышленник, обладающий номером карты, в приложении к современным карточным технологиям.

Список сертифицированных на соответствие стандарту PCI DSS компаний, в которых за последнее время были скомпрометированы данные держателей карт

Полный текст статьи читайте в журнале "ПЛАС" 4 (144) ’2009 сc. 60 - 63


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… в Китае в XXV веке до н.э., наряду с бартером, начинают развиваться денежные отношения? Роль "посредничающего" товара, который можно свободно обменять на любой другой, играют в основном ракушки каури, добываемые на близлежащих островах в Тихом океане. Со временем каури становятся основным платежным средством во всем Китае.