17 августа 2012, 16:17
Количество просмотров 144

PCI DSS в 2011 году: количество переходит в качество

Платежная индустрия в 2011 году получила значительное развитие, не в последнюю очередь благодаря отрасли электронной коммерции....
PCI DSS в 2011 году: количество переходит в качество

ПЛАС: Какие знаковые моменты и тенденции российской платежной индустрии, ознаменовавшие 2011 год, вы можете отметить?

Е. Безгодов: Ситуацию, которая сложилась на российском рынке платежных карт, можно охарактеризовать как устойчивый рост. Несмотря на все перипетии, происходящие в нашей экономике, количество игроков, выходящих на рынок электронных и мобильных платежей, увеличивалось в течение всего минувшего года. Развиваются сети терминалов по оплате услуг, а также сети вендинговых автоматов по продаже разнообразных товаров.

Как следствие развития этого сегмента рынка, появляются поставщики услуг, готовые взять на аутсорсинг многие типовые задачи, связанные с построением платежной инфраструктуры и операционной деятельностью банков и торгово-сервисных предприятий. В первую очередь я говорю о дата-центрах и платежных шлюзах.

ПЛАС: Как известно, развитие рынка розничных безналичных платежей увеличивает риски мошенничества в этой сфере. Как обстояли дела в России с сертификацией по стандарту PCI DSS в 2011 году? Чем он оказался примечателен в этом плане, можно ли говорить о каких-либо качественных изменениях?

Е. Безгодов: Сертификация платежных инфраструктур по стандарту PCI DSS не является новостью для России. С 2007 года в нашей стране начали появляться аккредитованные международным регулятором отрасли аудиторы, и их количество год от года росло. Однако в 2011 году произошел настоящий всплеск активности - целых три компании, оказывающие услуги в сфере информационной безопасности, стали сертифицированными QSA-аудиторами. Я говорю, в том числе, и о нашей молодой компании. Последний раз я наблюдал та¬кую ситуацию в 2008 году, когда рынок услуг по PCI DSS только формировался. Если говорить о количестве сертификаций – то здесь рост в целом по рынку можно охарактеризовать как взрывной. Новостные ленты пестрят заголовками о том, что тот или иной банк или платежный шлюз получил сертификат соответствия PCI DSS. Последнее вполне закономерно – в банках подходят к логическому завершению длинные проекты по приведению в соответствие, начатые еще в 2009–2010 годах. Плюс, как я уже говорил, выходят на рынок платежного аутсорсинга новые поставщики специфических для отрасли услуг. Это в основном стартапы или компании из смежных секторов – IT или финансов. Компании же, прошедшие сертификацию в предыдущие годы, продолжают успешно подтверждать соответствие и продлевать действие своих сертификатов.

ПЛАС: Коснемся подробнее IT-сектора. Вы упомянули дата-центры: многие экс- перты отмечали еще недавно, что в Рос- сии нет сертифицированных по стандарту PCI DSS дата-центров. Изменилась ли си- туация сейчас?

Е. Безгодов: Ситуация изменилась. В этом году сертификацию по PCI DSS прошли два российских дата-центра, и это не может не радовать. Ранее компаниям приходилось либо строить соответствующие inhouse инфраструктурные решения, либо внутри несертифицированного дата-центра выстраивать выделенную среду, либо обращаться к поставщикам услуг за рубежом, где в сертифицированных дата-центрах недостатка нет уже несколько лет. На этом фоне в Европе и США начали появляться облачные дата-центры, сертифицированные по PCI DSS. Особенно интересны решения класса IaaS (Infrastructure as a Service). В предоставленной ими виртуальной среде вы можете построить практически любую инфраструктуру из виртуальных кирпичиков – серверов, хранилищ, маршрутизаторов, межсетевых экранов и т. д., что очень удобно для не- больших и средних предприятий электронной коммерции. Думаю, интерес к сертификации по PCI DSS среди российских дата-центров, как уже существующих, так и вновь создаваемых, в ближайшее время сохранится и будет расти. Большинство предприятий электронной коммерции предпочитает не брать на себя задачи по размещению серверов и передают их на аутсорсинг в специализированные компании. Мы уже об- щались в этом году с несколькими дата- центрами, к которым поступили запросы на предоставление сертифицированных по PCI DSS услуг хостинга и размещения оборудования. При этом в силу специфики бизнеса сертификация для дата-центров проще, чем, скажем, для банков или платежных шлюзов.

ПЛАС: Вы упомянули значительный рост количества платежных шлюзов – чем он обусловлен?

Е. Безгодов: Основная причина, как я уже говорил, заключается в росте количества электронных платежей. Покупатель перемещается из торговых залов на сайты интернет-магазинов, а благодаря зарплатным проектам наших банков у него есть средство платежа – банковская карта. Рынок интернет-торговли переживает взрывной рост. Понятно, что это небольшие магазины, у которых нет лишних денег, зато есть гибкость и оперативность принятия решений. Если они пойдут на- прямую в классический банк, то, скорее всего, столкнутся с бюрократическими процедурами и неторопливостью, к которым они не привыкли. Поэтому появляются дружественные для таких спринтеров поставщики услуг – платежные шлюзы. Они принимают транзакции от магазинов и передают их банкам-эквайерам по имеющимся у платежных шлюзов каналам. Быстро, удобно и никакой бюрократии для магазина. Возникает интересное явление: для этих компаний PCI DSS – это уже не трудная ноша, а возможность развития бизнеса, а сертификат – реальное конку- рентное преимущество. За этот год к нам обратилось семь строящихся платежных шлюзов. С некоторыми из них мы запустили комплексные проекты по построению безопасных платежных решений с сертификацией по PCI DSS. Безопасность платежей эффективнее начинать обеспечивать на том этапе развития бизнеса, когда его создателю в голову приходит идея заняться этим на- правлением. Как говорят наши западные коллеги, «security by design», и они правы. Готовую работающую систему сделать безопасной гораздо сложнее, чем решить вопросы безопасности на ранних этапах построения платежной инфраструктуры.

PCI DSS в 2011 году: количество переходит в качество - рис.1 PCI DSS в 2011 году: количество переходит в качество - рис.2

ПЛАС: Кстати, какова сегодняшняя ситуация с сертификацией по PCI DSS за рубежом?

Е. Безгодов: Недавно мы посетили ежегодное мероприятие, проводимое регулятором отрасли – Советом PCI SSC. В этот раз оно проходило в Лондоне. Там мы имели возможность пообщаться с нашими зарубежными коллегами из Европы. В каждой стра- не свои нюансы внедрения PCI DSS. Объединяет их всех одно – основной костяк рынка услуг PCI DSS и безопасности платежных карт там составляют мерчанты, то есть торгово-сервисные предприятия. Большие розничные се- ти, маленькие магазины, Интернет- магазины. В отличие от них мы в Рос- сии пока больше работаем с банками и поставщиками платежных услуг, а мерчанты только начинают подтягиваться. Если раньше обращений от них почти не было, то за 2011 год таковые начали появляться. Дело в том, что у европейских мерчантов стимулы заниматься безопасностью есть, и они разные в разных странах. В Великобритании, например, эквайеры значительно снижают комиссию за транзакцию, если мерчант соответствует требованиям PCI DSS. В Финляндии эквайеров немного, и все они как один требуют соответствия PCI DSS как необходимое условие подключения. В Германии выполнение стандарта PCI DSS отлично сочетается с местным законом о защите персональных данных и способствует его соблюдению.

ПЛАС: Вы сказали о ежегодном собрании PCI SSC European Community Meeting, сообщили ли регуляторы отрасли что-то новое для нас?

Е. Безгодов: Это было юбилейное собрание, в этом году Совет PCI SSC отметил пять лет с момента основания. На мероприятии присутствовали все основные игроки платежного рынка Европы и Америки. К сожалению, не было организаций- участников из России. Я говорю о торгово-сервисных предприятиях и поставщиках услуг, которые могут зарегистрироваться на сайте PCI SSC, получить статус организаций-участников и принимать участие в развитии отрасли и стандартов наравне с Luftgansa, British Airways, Tesco и McDonald’s. Россия пока что была представлена только тремя QSA-компаниями. При этом на каждой конференции в Рос- сии я слышу, как повторяют: «стандарт неудобный, Совет не учитывает наших региональных особенностей». Но каким образом он может их учесть в отсутствие представителей российских банков, магазинов, платежных шлюзов?! В ходе мероприятия PCI SSC представил ряд новых документов, касающихся мобильных приложений, токенизации, чиповой технологии, голосового обслужива- ния, шифрования «точка-точка», виртуализации. Все они уже опубликованы, во многом разъяснены нюансы применения стандарта к специфичным для этих технологий ситуациям. В будущем планируется появление специальных QSA-аудиторов для проверки безопасности систем шифрования нового класса «точка- точка», сегодня активно внедряемых платежной индустрией.

ПЛАС: Как вы относитесь к инициативе Банка России включить требование о соответствии стандарту PCI DSS в свой стандарт информационной безопасности СТО БР ИББС-1.0?

Е. Безгодов: Идея интеграции требований PCI DSS в стандарт Банка России и способы ее осуществления были популярной темой на конференциях по информационной безопасности в 2011 году. В частнос- ти, на июньской Межбанковской конференции в Москве начальник отдела методологии обеспечения безопасности информационных ресурсов Банка России Валерий Харламов озвучил намерение включить PCI DSS в виде ссылки на стандарт с указанием обязательности соблюдения его требований. Сам же текст стандарта PCI DSS предполагается издать в виде сопутствующего документа. Мне такой вариант представляется оптимальным. Кроме того, есть надежда, что его реализация будет способствовать появлению официального русскоязычного перевода PCI DSS, так необходимого нашей отрасли.

ПЛАС: Ваш прогноз на 2012 год: что нас ждет в будущем?

Е. Безгодов: Я считаю, что нас ждет дальнейший рост рынка платежей, выход на него новых игроков, находящихся сейчас на стадии построения своих инфраструктур. Количество сертифицированных банков-эквайеров возрастет, потому что продолжат завершаться успешной сертификацией долгосрочные проекты по внедрению PCI DSS, а в банках они самые долгие ввиду объективной сложности их систем. Это количество перейдет в качество, и мы увидим растущий рынок PCI DSS сертификации мерчантов, поскольку им сертификация обходится гораздо проще и дешевле. Возрастет интерес к стандарту безопасности платежных приложений – PA-DSS. Это будет закономерным следствием роста количества сертифицированных мерчантов, внедряющих готовые кассовые и POS-решения. Если в 2011 году нашей компанией был выполнен один проект по сертификации платежного приложения по стандарту PA-DSS, то в 2012-м я жду увеличения количества таких проектов, при этом каждый из них довольно интересен сам по себе.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube