Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

PCI DSS и "настоящая" безопасность

(Нет голосов)

14.07.2009 Количество просмотров 967 просмотров

  Владимир Иванов, Инженер-консультант компании Cisco

Внедрение стандарта PCI DSS идет полным ходом по всему миру, включая Россию. Масштабы и освещение этого процесса в специализированных СМИ делает его чем-то похожим на социалистическое соревнование минувших лет: процессинговые компании рапортуют об успешно проведенных аудитах, аудиторы выпускают пресс-релизы о росте защищенности сетей, многочисленные аналитики обсуждают направления развития стандарта. В этой благополучной картине есть одна неувязка: число инцидентов информационной безопасности не уменьшается.

В конце декабря 2008 года компания RBS WorldPay, входящая в банковскую группу The Royal Bank of Scotland, сообщила о масштабной утечке данных более чем 1,5 миллиона предоплаченных карт. Кроме того, была похищена информация об 1,1 миллиона номеров социального страхования американских граждан. По сообщению RBS WorldPay, утечка произошла из-за неавторизованного доступа к БД процессингового центра компании1.

Интересно, что незадолго до даты предполагаемого нарушения некоторые коллеги автора настоящей статьи посещали США и расплачивались там своими картами. Впоследствии они получили уведомления от банков, выдавших им карты, о возможном нарушении конфиденциальности данных этих карт, с предложением их перевыпуска. По сообщению одного из банков, платежная система Visa уведомила его о том, что данные карты, возможно, скомпрометированы. Таким образом, нарушение безопасности процессинга в США привело к финансовым потерям (пусть даже и небольшим) со стороны банков в других странах, ведь даже без учета возможных мошеннических операций по скомпрометированным картам банкам пришлось обеспечить их перевыпуск.

В январе 2009 г. другая крупная процессинговая компания – Heartland Payment Systems – сообщила об обнаружении вредоносного программного кода на серверах, обрабатывающих карточные транзакции. Количество номеров карт, подвергшихся компрометации, не разглашается, однако компания сообщила, что зараженные системы обрабатывали до 100 млн транзакций ежемесячно2. Администраторы компании не подозревали об инциденте безопасности до той поры, пока их об этом не уведомили сотрудники платежной системы Visa Inc. Разумеется, обе компании, и RBS WorldPay, и Heartland Payment Systems, к моменту возникновения инцидентов были успешно сертифицированы на соответствие требованиям PCI DSS.


Полный текст статьи читайте в журнале "ПЛАС"6 (146) ’2009 сс. 33 - 36



Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… в Китае в XXV веке до н.э., наряду с бартером, начинают развиваться денежные отношения? Роль "посредничающего" товара, который можно свободно обменять на любой другой, играют в основном ракушки каури, добываемые на близлежащих островах в Тихом океане. Со временем каури становятся основным платежным средством во всем Китае.