Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

В Москве прошел семинар «PCI DSS: Информационная безопасность в индустрии платежных карт»

(Нет голосов)

15.06.2009 Количество просмотров 839 просмотров

23 апреля 2009г. в Москве в отеле Holiday Inn Moscow Suschevsky состоялся семинар «PCI DSS: Информационная безопасность в индустрии платежных карт», организованный компанией «Информзащита». Спонсорами мероприятия выступили компании Oracle и Cisco. Генеральным информационным партнером семинара стал журнал «ПЛАС».

Компания «Информзащита» уже в третий раз проводит семинар по проблематике PCI Compliance для представителей кредитно-финансовых структур и крупных розничных компаний. Опыт, полученный специалистами «Информзащиты» в ходе проведения аудитов, показывает, что представители банков и процессинговых центров не всегда достаточно четко представляют себе, что именно требуется для внедрения стандарта PCI DSS. Зачастую, прежде чем начать работу по подготовке к процедуре аудита, возникает необходимость в подробном разъяснении клиентам положений стандарта. Именно поэтому «Информзащита» проводит подобные семинары, на которых проходит совместное обсуждение всех требований стандарта и которые помогают внести ясность в процедуру проведения аудита и выполнения его требований. Последнее мероприятие собрало больше 60 представителей наиболее активных участников рынка, заинтересованных во внедрении PCI DSS в своих структурах.

На семинаре представили свои доклады специалисты и сертифицированные аудиторы компании «Информзащита». Директор департамента аудита компании «Информзащита» Максим Эмм выступил с обзором стандарта PCI DSS и его требований. В своей презентации докладчик в общих чертах коснулся требований PCI DSS, области его применения, рассказал о зонах ответственности PCI SSC, международных платежных систем и компанийQSA, затронул тему компенсационных мер и рассказал о стандартах PA-DSS и PED.

Начальник отдела аудита платежных систем компании «Информзащита» Анна Гольдштейн представила доклад, посвященный PCI Compliance в России. Она привела собственные статистические данные компании по соответствию требованиям стандарта. Так, в среднем по результатам первого аудита компании-заказчики достигают 53%-ного соответствия требованиям, после второго аудита ситуация улучшается, и в среднем компании достигают уровня 72%-ного соответствия. Далее А. Гольдштейн развенчала основные мифы и легенды вокруг PCI DSS. В их числе – такие распространенные заблуждения, как отношение к PCI DSS как к чисто техническому стандарту, надежды на то, что можно выполнить только часть его требований, чтобы получить сертификат соответствия, уверенность, что внедрение соответствующего ПО и оборудования уже само по себе позволит закрыть полностью то или иное требование. В заключительной части презентации были подняты вопросы, касающиеся основных проблем, с которыми приходится сталкиваться при внедрении стандарта, и приведены варианты их решения. В своем следующем докладе А. Гольдштейн рассказала о подходах к классификации организаций и привела примеры схем работы по достижению соответствия стандарту.

Последовавший затем блок докладов был посвящен отдельным работам в рамках требований стандарта, а именно проведению сканирований, теста на проникновение и сертификационного аудита. В рамках докладов была представлена интересная статистика от компании Verizonebusiness. Согласно ее данным, наиболее популярными методами проникновения являются неавторизованный доступ через пароли по умолчанию, разделяемые или украденные пароли, SQL-инъекции, некорректные ограничения и ACL, обход аутентификации. Основными источниками проникновения в подавляющем большинстве были внешние источники (74%), а также партнеры (32%). На долю внутренних источников пришлось всего 20% проникновений. Также были рассмотрены типовые ошибки, связанные с проведением сканирований, которые вскрываются на аудитах. К последним относятся следующие: сканирование осуществлялось несертифицированным ASV, не проводится сканирование всех публичных адресов, безопасность которых связана с процессингом, обнаруженные уязвимости не устраняются, не сканируются DNS-серверы провайдера в тех случаях, когда у компании нет собственных.

В заключение семинара с докладами выступили представители вендоров – Николай Данюков, ведущий консультант компании Oracle, и Владимир Иванов, инженер-консультант компании Cisco. В своем докладе Николай Данюков представил основные опции безопасности в СУБД Oracle, а Владимир Иванов рассказал об использовании программных решений Cisco для контроля выполнения требований стандарта PCI DSS. Семинар завершился оживленной дискуссией, в рамках которой его участники обменялись своими взглядами на основные вопросы прохождения аудита по PCI DSS.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первый в США сервис мобильного банкинга был запущен Wells Fargo в 2002 г., но так как число пожелавших воспользоваться этой услугой ограничилось всего 2500 клиентами, банк вскоре убрал мобильный банкинг из списка своих сервисов?