Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

PCI SSC European Community Meeting 2010: на волне новых идей

(Нет голосов)

04.02.2011 Количество просмотров 1240 просмотров


Сергей Шустиков, руководитель направления менеджмента ИБ DigitalSecurity, CISA, PCIQSA

С 18 по 20 октября в Барселоне прошло собрание PCI SSC EuropeanCommunityMeeting 2010. Это событие стало европейской частью общего собрания участников индустрии платежных карт 2010 года. Вместе европейская и американская части мероприятия собрали полторы тысячи представителей шестисот заинтересованных бизнес-структур и некоммерческих организаций.


[1]«Чем больше обратной связи мы получаем, тем выше становится уровень зрелости стандарта!» (англ.) – примечание автора.

Дары моря

Вал приближался к берегу. Спустя всего лишь пару секунд огромная масса воды с грохотом обрушится на песчаный пляж, высвобождая все, что накопилось у нее за долгий путь к побережью. Еще через секунду шипящая пена впитается в песок, оставив поблескивать в слабеющих лучах осеннего солнца принесенные из глубин Средиземного моря ракушки, камни, водоросли. Они не успеют даже высохнуть, новая волна поднимет их, перемешает, отшлифует и вновь выплеснет на влажный песок, уже в новом обличье. Наверное, именно так в идеале должен выглядеть процесс привнесения новых идей в цикличной системе совершенствования однажды созданного разумом.

Городские пляжи Барселоны в это время года немноголюдны, осень все же дает о себе знать. Однако всего лишь в паре километров от линии прибоя международный регулятор в области безопасности индустрии платежных карт в очередной раз созвал жителей разных континентов, чтобы собрать отшлифованные и обкатанные в умах сообщества идеи по модернизации стандартов и рассказать о грядущих изменениях.

We need your feedback!

“More feedback we get – higher level of maturity standards achieve!”1 – этими словами открыл основную сессию европейский директор Совета PCI SSC Джереми Кинг (Jeremy King). Действительно, обсуждение предложений и пожеланий представителей индустрии платежных карт – торговосервисных предприятий, поставщиков услуг, эквайеров, эмитентов, международных платежных систем, QSA-аудиторов, системных интеграторов заняло большую часть мероприятия. Совет PCI SSC продляет на год цикл модернизации стандартов, его период теперь равен трем годам.

По словам руководителей Совета, это сделано, в том числе, с целью получения большего количества отзывов от сообщества и более тщательного их анализа.

Версия 2.0

В рамках собрания состоялась отдельная сессия, на которую были приглашены только QSA-аудиторы и представители ASV-компаний. В ее ходе рабочая группа, состоящая из высокопоставленных представителей каждой из пяти международных платежных систем – участниц Совета PCI SSC, а также непосредственных авторов текста стандартов, представила аудиторам обзор изменений, вошедших в версии 2.0 документов PCI DSS и PADSS. Радикальными эти изменения назвать трудно, в основном речь идет о поправках, уточнениях и перегруппировках.

Подробный анализ этих изменений я уже приводил на страницах прошлого выпуска журнала «ПЛАС» в статье «Обзор изменений версии 2.0 стандарта PCI DSS»2.

Гораздо важнее другое – стандарт действительно живет, колесо Деминга действительно вращается, и движущей силой этого вращения является та самая энергия прибоя, несущего артефакты идей.

Насущное

Кроме так необходимой Совету PCI SSC обратной связи у собравшихся представителей сообщества были свои вопросы к регулятору и международным платежным системам. Не стал исключением и автор настоящей статьи, прибывший на мероприятие с блокнотом, исписанным вдоль и поперек.

Первый вопрос, который я задал непосредственно Бобу Руссо (Bob Russo), был о том, когда же наконец появится официальная версия стандарта PCI DSS на русском языке, тем более что как раз перед этим обеспечение интернациональности стандартов было объявлено с трибуны одним из приоритетов стратегического развития. Боб Руссо выразил свою благодарность русскоязычному сообществу за поддержку, высоко оценил деятельность сообщества PCIDSS.RU по переводу стандарта и заявил, что Совет ведет работы по подготовке текста стандарта на русском языке. Он также пояснил, что, несмотря на наличие готовых переводов, Совет может признать аутентичной только ту версию, которая будет создана непосредственно в рамках его структуры и по его инициативе и будет верифицирована его специалистами. Что ж, это вполне по-нятная позиция, которая имеет право на существование, – будем ждать.

Следующий вопрос был адресован по очереди представителям MasterCard и Visa – Майклу Грину (Michael Green), вице-президенту MasterCard, и Шейну Болфе (Shane Balfe), менеджеру по управлению соответствием PCI DSS Visa. Вопрос касался планов этих международных платежных систем относительно внедрения стандарта PCI DSS на территории России. Майкл Грин, представляя MasterCard, отметил, что их планы относительно нашего региона не изменились, крайние сроки внедрения уже давно прошли, и теоретически за несоответствие MasterCard уже сейчас может оштрафовать любого. Не происходит этого пока только потому, что «руки не дошли», они пока разбираются с США и Европой, но уже скоро все изменится… Позиция Visa интересовала особо, в свете переноса на год вперед крайнего срока полного достижения соответствия PCI DSS.

Шейн Болфе заявил, что перенос крайнего срока ни в коем случае не стоит рассматривать как ослабление требований Visa. Несмотря на переносы, региональные подразделения этой платежной системы продолжают выполнять программу по внедрению стандарта. Не является здесь исключением и подразделение Visa CEMEA, которое ответственно за скорейшее повышение общего уровня безопасности карточных транзакций в данном регионе, включая Россию.

В этом свете перенос срока внедрения можно рассматривать скорее как некоторый шаг навстречу сообществу в надежде, что к следующему году количество сертифицированных по стандарту PCI DSS компаний в России будет все же больше, чем порядка полутора десятков структур, имеющихся на текущий момент.

Попутно представителям обеих ведущих международных платежных систем был задан вопрос относительно требований соответствия к эмитентам, вызывавший одно время в российском сообществе достаточно оживленные дискуссии. Позиция, которую озвучил представитель MasterCard, заключается в следующем: эта платежная система не требует от своих членов отчета о соответствии эмиссионной инфраструктуры, однако приветствует и поддерживает взаимодействие эмитентов с QSA-специалистами по вопросам выполнения требований PCI DSS в рамках эмиссии. В свою очередь, представитель Visa отметил, что платежная система по своему усмотрению может потребовать от отдельных членов VisaNet сертификации эмиссионной площадки с привлечением QSA-аудитора. В этом случае область аудита, описываемая в Отчете о Соответствии, должна включать в себя инфраструктуру эмиссии.

О подобной необходимости Visa сообщит организации самостоятельно.

Перспективы развития

Значительную долю выступлений организаторы мероприятия посвятили результатам деятельности рабочих групп по изучению технологий, ранее не затронутых стандартом PCI DSS. К таким относятся виртуализация, токенизация, а также технологии EMV и сквозного шифрования по принципу End-to-End. Взгляды регулятора на то, как эти механизмы влияют на безопасность транзакций и как соотносятся с другими требованиями стандарта, отчасти уже опубликованы на сайте Совета SSC. Некоторые связанные с ними поправки вошли в новые версии стандартов, например, требование «один сервер – одна функция» теперь учитывает особенности виртуализации и позволяет серверу быть как реальным, так и виртуальным. Рабочие группы продолжают свою деятельность, и вскоре мы увидим новые информационные документы.

Что касается EMV и сквозного шифрования, то позиция Совета PCI SSC заключается в том, что как бы глубоко эти технологии ни проникали в индустрию платежных карт, все равно они не отменят необходимости комплексного обеспечения безопасности данных держателей карт. Мысль о том, что ни одно отдельно взятое решение панацеей не является, в целом вполне очевидна. Данные держателей карт все равно будут обрабатываться в информационных системах организаций, и их конфиденциальность надо будет защищать, равно как и целостность и доступность.

Послесловие

Впечатления от мероприятия, целью которого стало совершенствование нормативной базы деятельности по защите данных держателей карт, безусловно, можно назвать позитивными. Радует то, что за идеями по модернизации стандартов регулятор в открытой форме обращается к сообществу, к тем, кто ежедневно испытывает на себе действие его требований и способен дать максимально актуальные отзывы.

Изменения, которым подвергается стандарт в каждом цикле своего развития, также не могут не радовать. Однако, если говорить про ожидания, то, безусловно, хотелось бы, чтобы стандарт PCI DSS наконец отошел от принципа контрольной карты и перешел к риск-ориентированному подходу в выборе мер защиты. Потому что иначе у участников индустрии будут продолжать возникать вопросы: «а почему перечень мер именно такой?», «почему он один для всех?», «почему бы не включить в него еще и вот это?» Эти мнения прозвучали в Барселоне очень отчетливо и требуют качественных изменений в самих подходах к обеспечению безопасности платежной индустрии.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… за тысячи лет до нашей эры и вплоть до XX века на одном из островов существовал «монетный двор»: местные жители бросали в воду листья кокосовой пальмы и подбирали их после того, как те покрывались ракушками.