Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

PCI DSS – что нас ждет в ближайшем будущем?

(Голосов: 1, Рейтинг: 5)

27.02.2013 Количество просмотров 3238 просмотров

Евгений Безгодов, исполнительный директор QSA-компании Deiteriy


Об итогах минувшего года и перспективах нового 2013-го в канун юбилейного уральского форума «Информационная безопасность банков» в своем интервью журналу «ПЛАС» рассказывает Евгений Безгодов, исполнительный директор QSA-компании Deiteriy.

ПЛАС: Год назад в своем интервью нашему журналу вы обозначили основные тренды развития безопасности платежных карт в России и поделились своими прогнозами на год вперед. В какой мере они оправдались?

Е. Безгодов: Прошедший 2012 год показал, что тенденция устойчивого роста рынка карточных платежей сохранилась и меняться пока не намерена. Одновременно мы видим, что в России на данный сегмент экономики обратили внимание государственные регуляторы, и это может оказаться тем катализатором, который выведет индустрию на новый уровень. Что касается прогнозов, то в целом они подтвердились.

Как мы и ожидали, количество поставщиков «коробочных» платежных решений, включивших процедуру сертификации по стандарту PA-DSS в стандартный жизненный цикл программного продукта, заметно увеличилось. По пресс-релизам можно судить о том, что сертифицированное по этому стандарту приложение, работающее с платежными картами, постепенно становится для России нормой. Особенно это заметно в сегменте приложений для платежных терминалов, принимающих банковские карты в рамках систем самообслуживания в таких секторах рынка, как АЗС, билетный бизнес и вендинговые автоматы.

Основной прогноз касался того, что волна PCI DSS сертификации наконец охватит торгово-сервисные предприятия. Так и произошло: все больше банков и платежных шлюзов требуют от подключающихся к ним мерчантов подтверждения соответствия стандарту PCI DSS. В основном это торгово-сервисные предприятия (ТСП) 3–4-го уровня по классификации Visa и MasterCard. Платежные инфраструктуры у этих компаний небольшие, работы по приведению их в соответствие требованиям PCI DSS принципиальным образом отличаются от того масштаба, с которым мы работаем в банках или процессингах. Специально для таких малых с точки зрения PCI DSS организаций мы вывели на рынок облегченный вариант проекта по приведению их в соответствие стандарту и выполнению сертификационных проверок. Для таких ТСП подтверждение соответствия – это в основном заполнение листа самооценки SAQ после успешного прохождения ASV-сканирования.

ПЛАС: Какие принципиальные отличия, кроме объема работ, существуют в проектах по приведению инфраструктуры в соответствие PCI DSS в ТСП по сравнению с решениями, например, в банках?

Е. Безгодов: Основным отличием здесь можно назвать тот факт, что в торгово-сервисном предприятии 3 и 4-го уровня по классификации Visa и MasterCard карточные бизнес-процессы на порядок проще, чем в банке. Чаще всего это прием карточных данных на сайте магазина, если мы говорим об электронной коммерции, минимальная аналитическая обработка и отправка этих данных в банк или платежный шлюз. Для такого варианта подходит лист самооценки (Self-Assessment Questionnaire) SAQ типа «C», к нему не применяются требования о защите хранимых данных держателей карт, поскольку ТСП их не хранит, и проект значительно упрощается. Другая особенность заключается в том, что организационная структура такого небольшого магазина в отличие от банка не предполагает наличия в штате специалистов по информационной безопасности. В лучшем случае функции по защите карточных данных возложены на IT-отдел. Наши консультанты в этих проектах становятся в прямом смысле учителями, которые не только помогают разработать безопасное решение, но и обучают сотрудников компании необходимым методам обеспечения информационной безопасности. В итоге консультант и его клиент начинают говорить на одном языке, лучше понимают друг друга, и это положительно сказывается на сроках. Такая практика настолько хорошо себя зарекомендовала, что теперь мы включаем проведение обучающих семинаров перед началом работ в каждый консультационный проект, как для торгово-сервисных предприятий, так и для банков.

В прошедшем году мы запустили проект PCI DSS Training и теперь регулярно проводим обучающие семинары для специалистов по безопасности, IT-директоров, системных администраторов – в общем, всех, кого касаются вопросы соответствия PCI DSS. В 2012 году мы провели пять семинаров, обучили 85 человек из 59 компаний. Это, на мой взгляд, достаточно красноречивый показатель уровня интереса к стандарту в России. В 2013 году мы будем проводить такое обучение ежеквартально, очередной семинар уже намечен на март.

ПЛАС: Что заставляет малые торгово-сервисные предпри- ятия 3 и 4-го уровня при- водить системы в порядок и подтверждать соответствие PCI DSS?

Е. Безгодов: Многие мерчанты изначально и понятия не имеют о том, что означает аббревиатура PCI DSS, пока их не спросит об этом банк-эквайер. Однако рынок эквайринга в России можно охарактеризовать как конкурентный, и до недавнего времени эквайеры не очень торопились «пугать» магазины требованиями по защите карточных данных. Пришло время, и международные платежные системы стали уделять этому вопросу больше внимания, одновременно риски эквайеров, связанные с утечками данных, стали заметными. Вследствие этих причин банки и независимые процессоры начали требовать у торгово-сервисных предприятий подтверждения соответствия PCI DSS.

Естественно, попадаются мерчанты, не желающие выполнять требования стандарта в силу тех или иных причин. Такое ТСП может даже сменить эквайера на другого, пока еще не требующего соответствия PCI DSS. У такого мерчанта может сложиться иллюзия, что вопрос решен. Однако есть целых три нюанса, которые позволяют считать подобные методы напрасной тратой времени, не говоря уже о сохраняющихся рисках для конечных клиентов, – ведь именно небольшим торгово-сервисным предприятиям мы каждый день доверяем наши карты и надеемся на безопасную обработку платежей.

Нюанс первый: риски для эквайера сами по себе никуда не денутся, и покроет он их, скорее всего, повышенной торговой уступкой. Наоборот, известно, что для мерчантов, подтвердивших соответствие PCI DSS, многие эквайеры снижают ставки комиссии, эта практика уже пришла в Россию. Нюанс второй: все больше эквайеров включают необходимость соответствия PCI DSS в перечень формальных требований, которые необходимо выполнить ТСП до подключения. Нюанс третий: вице-президент по безопасности MasterCard Worldwide Майкл Грин (Michael Green), упоминая об этом явлении, отметил, что факты перемещения мерчантов между эквайерами отслеживаются международными платежными системами и являются предметом анализа. При чересчур упорных попытках ТСП избежать выполнения требований PCI DSS у MasterCard могут возникнуть серьезные вопросы как к самому мерчанту, так и к его эквайеру. Нет оснований полагать, что у Visa подход чем-то отличается, что подтверждают коллеги из банков-принципалов этой платежной системы.

При этом, безусловно, есть мерчанты, которые добровольно внедряют необходимые по стандарту меры защиты. Отмечу, что по мере повышения уровня профессиональной подготовки отраслевых IT-специалистов таких торгово-сервисных предприятий становится все больше. Мне очень приятно было услышать от технического директора одного интернет-магазина такие слова: «Требования банка важны, но глав- ное – ответственность за безопасность данных лежит на мне, поэтому мы будем внедрять средства защиты».

ПЛАС: Год назад вы говорили, что число платежных шлюзов и прочих поставщиков специализированных услуг в деле обработки карточных транзакций будет расти. Как обстоят дела сейчас?

Е. Безгодов: По прошествии года можно сказать, что ожидания оправдались. При этом новые игроки рынка платежных услуг стараются найти конкурентное преимущество в специализации. Например, большое внимание стало уделяться мобильным POS-решениям (mPOS), когда при помощи считывателя платежных карт, подключенного к ауди-разъему, можно превратить в POS-терминал любой современный гаджет с операционной системой Google Android или Apple iOS. Это позволяет радикально снизить вложения торгово-сервисных предприятий в приобретение POS-решений, что очень существенно для малого бизнеса. На рынок вышли поставщики услуг, предоставляющие комплексное решение – картридер, мобильное приложение для iOS или Android и подключение к процессинговому центру эквайера.

ПЛАС: Существует ли какая-либо специфика приведения в соответствие PCI DSS описанной схемы mPOS?

Е. Безгодов: Специфических моментов здесь хватает, и связаны они в основном с процессом передачи карточных данных через мобильное устройство – смартфон или планшет. Дело в том, что на сегодняшний день мобильные операционные системы не в полной мере удовлетворяют требованиям безопасности, и нет возможности привести их в соответствие PCI DSS. Сразу скажу, что по информации, полученной от Совета PCI SSC, в его структуре создана рабочая группа, включающая представителей компаний Apple, Google и Microsoft, целью которой является выработка требований безопасности к архитектуре мобильных операционных систем. Уже достигнута договоренность, что новые версии этих платформ будут иметь возможность усиления защиты и станут способны выполнить требования PCI DSS. Однако до тех пор пользователям надо решать задачу выноса мобильного устройства за рамки области аудита.

Это можно сделать, применив технологию шифрования по схеме «точка-точка» (Point-to-Point Encryption, P2PE). Считыватель шифрует карточные данные и передает их в мобильное устройство уже в зашифрованном виде, а устройство передает их на сервер процессинга. Ключами шифрования и расшифрования обладают только непосредственно считыватель и процессинговый центр. Таким образом, мобильное устройство не имеет ключа расшифрования и не может получить доступ к карточным данным. Для подобных P2PE решений Совет PCI SSC разработал программу сертификации по аналогии с сертификацией платежных приложений по PA-DSS. Сегодня эта программа пока еще находится на начальном этапе своего становления, и перечень сертифицированных P2PE решений на сайте Совета PCI SSC не содержит ни одной записи. Сейчас безопасность подобных схем проверяется в ходе аудита на соответствие торгово-сервисного предприятия стандарту PCI DSS, и вывод о возможности вынесения мобильного устройства за пределы области аудита делает QSA-аудитор.

ПЛАС: Какова сейчас ситуация с наличием в России ЦОДов, сертифицированных по стандарту PCI DSS? Год назад вы отмечали, что такие площадки здесь начали появляться.

Е. Безгодов: Количество российских дата-центров, сертифицированных по стандарту PCI DSS, продолжает увеличиваться. В прошедшем году мы сертифицировали ЦОД в Санкт-Петербурге. Это первая на северо-западе России хостинг-площадка, соответствующая PCI DSS. Есть информация, что еще несколько российских дата-центров начали проекты по сертификации. Ситуация с физическими площадками улучшается, чего пока не скажешь о виртуальном хостинге. Даже те дата-центры, которые предлагают клиентам аренду виртуальных серверов, пока сертифицировали только услугу физического размещения оборудования клиентов в машинных залах. При этом многие малые торгово-сервисные предприятия испытывают неудовлетворенную потребность именно в аренде виртуальных серверов и развертывании инфраструктуры в облаке, расположенном на территории России.

ПЛАС: Какие прогнозы на текущий год уже можно сделать? Что нас ждет в ближайшем будущем?

Е. Безгодов: Во-первых, как я уже говорил, отечественные регуляторы обратили внимание на безопасность платежей. Принятие Закона о национальной платежной системе само по себе говорит о многом. Банк России начал активное взаимодействие с Советом PCI SSC по вопросу официального перевода всего семейства стандартов на русский язык. В рамках некоммерческого партнерства «Сообщество пользователей стандартов по информационной безопасности ABISS» создана рабочая группа по согласованию перевода стандарта, в нее входят, в том числе, и представители компании Deiteriy. Есть перспектива, что в этом году Советом PCI SSC будет принята официальная русская версия стандартов. Это ускорит процесс гармонизации стандартов PCI с нормативными документами по безопасности НПС.

Развитие стандартов продолжается, с основными направлениями мы ознакомились в октябре 2012 года в Дублине на ежегодной конференции PCI SSC Community Meeting 2012. Такими направлениями станут обеспечение безопасности при взаимодействии с третьими сторонами и поддержка соответствия PCI DSS. Следующей осенью Совет планирует не две, как обычно, а целых три сессии Community Meeting – в США, Европе и Малайзии. Региональная экспансия PCI DSS продолжается, и Совет готовится взяться за самый сложный в деле безопасности платежных транзакций регион – Юго-Восточную Азию.

В 2013 году завершается очередной трехлетний цикл развития стандартов PCI DSS и PCI PA-DSS. В течение этого периода Совет собирал обратную связь от индустрии платежных карт, анализировал ее и готовил предложения по совершенствованию документов. Таким образом, осенью 2013-го нас ждет выход новой версии стандарта, но действующая версия 2.0 будет актуальна до конца 2014 года. Изменения не будут носить радикального характера, в основном это будут уточнения и дополнения к существующему тексту.

ПЛАС: Вы сказали, что в этом году Совет обратит внимание на вопросы поддержки соответствия.

Е. Безгодов: В самом деле, поддерживать соответствие требованиям стандарта PCI DSS ничуть не проще, чем достигнуть этого соответствия. Отличие только в том, что достижение соответствия – проект, оканчивающийся конкретным результатом, а поддержка – это ежедневная систематическая работа, не ограниченная во времени. Это в полной мере отвечает принятым во всем мире практикам обеспечения информационной безопасности, например, стандарту ISO 27001 или нашему стандарту Банка России.

Для того чтобы помочь клиентам в этом непростом деле – поддержке соответствия, мы выводим на рынок специализированную услугу для тех, кто уже достиг соответствия PCI DSS. Мы берем на себя полное или частичное выполнение рутинной работы по контролю и поддержанию защищенности информационной инфраструктуры клиента. Особенно актуальна эта услуга для малых и средних компаний, где часто не бывает выделенного подразделения или сотрудника, ответственного за обеспечение информационной безопасности. Это тот самый аутсорсинг безопасности, о котором все много говорили раньше, но появляться он начал только сейчас.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… каури были не только «туземным» средством расчета, но также в ходу в Средней Азии, Европе и даже Руси? На Руси в XII-XIV веках, в так называемый безмонетный период, каури были деньгами под названием ужовок, жерновков или змеиных головок. Их до сих пор находят при раскопках в Новгородских и Псковских землях в виде кладов и в погребениях. Только в XIX веке в Западную Африку ввезли не менее 75 млрд раковин каури общим весом 115 тысяч тонн?