Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

При всем богатстве выбора…

(Нет голосов)

11.02.2010 Количество просмотров 876 просмотров

Игорь Голдовский,
член Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России
Игорь ГолдовскийНе первый раз на страницах журнала «ПЛАС» мне приходится выступать в роли «адвоката» стандарта PCI DSS. Не скажу, что это доставляет большое удовольствие, но вновь хотелось бы внести ясность в вопрос, где многое кажется и без того очевидным.

Автор статьи ставит ряд вопросов и делает ряд выводов относительно необходимости и эффективности стандарта PCI DSS. Не соблюдая порядка появления в данном материале вопросов/выводов, отвечу/прокомментирую их.

В начале статьи автор задается вопросами: способен ли стандарт PCI DSS обеспечить безопасность платежных карт? Почему его внедрение не приводит к уменьшению числа компрометаций и объема скомпрометированных данных?

Ответы на эти вопросы таковы. Стандарт PCI DSS, как и ни один другой стандарт, не обеспечивает и в принципе не может обеспечить абсолютной стопроцентной безопасности. Стандарт является только необходимым, но недостаточным условием безопасного хранения, обработки и передачи данных держателей карт.

Почему стандарт является необходимым условием? Потому что его требования пришли из жизни, и их невыполнение может привести к компрометации данных. Эксперты PCI SSC, в состав которых входят специалисты безопасности ведущих платежных систем и банков, на основании анализа угроз, полученных из данных реального рынка (а не теоретически, как считает автор), предложили контрмеры (в форме необходимости выполнения требований стандарта), уменьшающие шансы мошенников на успех. Очевидно, автор статьи не может спорить с тем, что выполнение требований стандарта как минимум не ухудшит безопасности карт.

Резонный вопрос, который можно поднять в данном случае: насколько эффективны требования стандарта PCI DSS? Эксперты отвечают – достаточно эффективны при выбранном разумном уровне затрат на внедрение стандарта! К сожалению, мы не говорим о том, сколько потенциальных атак было отражено в результате использования стандарта. Здесь достаточным будет лишь напомнить о том, что все фиксируемые попытки (но не только они) несанкционированного доступа в информационную систему – потенциальные атаки. Мы говорим, что и после внедрения PCI DSS компрометация данных продолжается, но не говорим о том, каким был бы ее уровень в случае отсутствия PCI DSS.

Внедрение программ Visa Account Information Security Programme и MasterCard Site Data Protection, в рамках которых внедряется стандарт PCI DSS, очевидно, снизило потери от кражи данных держателей карт. Теперь уже бывший старший вицепрезидент MasterCard Дэвид Эфрик (David Africk) рассказывал мне, что в США до внедрения PCI DSS было потрачено огромное количество усилий на то, чтобы заставить торговые предприятия не хранить данные второй дорожки магнитной полосы – одной из самых чувствительных с точки зрения последствий компрометации данных информации – в своих информационных системах. Использовались и аргументы, что эти данные магазину не нужны, и увещевания об ответственности, и просительные письма. И все было бесполезно. Сейчас хранение данных магнитной полосы запрещено PCI DSS. В лучшую или в худшую сторону такая мера может повлиять на ситуацию с компрометацией данных?! Итак, требования стандарта PCI DSS как минимум разумны и отражают существующие на рынке угрозы. Можно сделать стандарт более надежным? Конечно, только стоить это будет дороже!

Полный текст статьи читайте в журнале ПЛАС Дайджест’ 2009  сc. 19 - 20

 


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… за тысячи лет до нашей эры и вплоть до XX века на одном из островов существовал «монетный двор»: местные жители бросали в воду листья кокосовой пальмы и подбирали их после того, как те покрывались ракушками.