Решения SafeNet в области безопасности: 7 из 12 требований PCI DSS
Программно-аппаратные продукты и решения компании SafeNet помогают участникам рынка платежных карт достичь «PCI DSS Compliance»
Вадим Калмыков, генеральный директор компании DataSecurity Technologies
На этом фоне еще в 2004 г. ведущими международными платежными системами был разработан Стандарт безопасности данных индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard), определяющий требования к хранению, обработке и передаче данных держателей карт. Стандарт представляет собой единый набор требований к безопасности данных держателей платежных карт, объединяя в себе требования ряда программ по безопасности American Express, Discover Card, JCB International, MasterCard Worldwide и Visa Inc.
Стандарт содержит 12 направлений обеспечения безопасности, включая вопросы обеспечения сетевой защиты, безопасной передачи данных, своевременной установки патчей системного программного обеспечения, постоянного аудита системы и действий сотрудников, разграничения доступа к системам и функциям системы, а также безопасного хранения данных держателей карт. Действие PCI DSS распространяется на всех участников платежного процесса, включая торгово-сервисные предприятия, процессинговые центры и финансовые организации, работающие с международными платежными системами, т. е. на все структуры, которые передают, обрабатывают и хранят данные держателей карт.
Изначально международные платежные системы требовали от своих участников и торгово-сервисных предприятий, принимающих карты, обеспечить соответствие стандарту на территории США и Западной Европы, применяя штрафные санкции за невыполнение данных требований.
Для других регионов требования PCI DSS были также обязательны, но никаких санкций за их невыполнение предусмотрено не было. Однако с сентября 2006 года Visa Int. объявила, что в рамках программы Visa Account Information Security за непрохождение аудита по стандарту PCI DSS торгово-сервисными предприятиями и поставщиками услуг (процессинговыми центрами, платежными шлюзами, интернетпровайдерами), работающими с Visa Int. на территории стран региона Visa CEMEA, будут взиматься штрафы. Аналогичную политику проводит сегодня и MasterCard Worldwide в регионе MasterCard Europe в рамках своей программы MasterCard Site Data Protection. Учитывая, что Россия входит в оба эти региона, данные шаги послужили мощным стимулом к внедрению стандарта российскими банками.
Регулярно появляющиеся в прессе сообщения о компрометации данных держателей платежных карт, включая недавний случай с американским сервис-провайдером Heartland Payment, через сети которого ежемесячно проходит около 100 млн финансовых транзакций, демонстрируют, что хотя требования стандарта сфокусированы прежде всего на защите потребителя, достижение «PCI DSS Compliance» и обеспечение требуемого стандартом уровня информационной безопасности – это залог сокращения потенциального ущерба от инцидентов безопасности, повышение устойчивости бизнес-процессов и, в конечном итоге, сохранение своей репутации и клиентской базы для всех участников рынка, будь то банк-эквайер, процессинговая компания или торгово-сервисное предприятие. Таким образом, сегодня постепенно меняется довольно распространенное до недавнего времени мнение части банковского сообщества о том, что проходить аудит по PCI DSS, а также выполнять все требования стандарта совсем необязательно, поскольку deadline по соответствию постоянно сдвигается, а вероятность реального применения регуляторами штрафных санкций остается под вопросом. Напротив, все больше компаний понимает, что инициировать довольно непростой и трудоемкий проект по достижению соответствия требованиям PCI DSS жизненно необходимо.
Визитная карточка
DataSecurity Technologies
Компания DS Technologies (http://www.datasec/. ru) является дистрибутором ряда зарубежных вендоров и занимается поставками криптографического оборудования банкам – участникам международных платежных систем, а также средств для защиты информации на всех стадиях ее жизненного цикла для компаний и корпораций. Мы предлагаем решения в следующих направлениях: • цифровая аутентификация пользователей • шифрование информации при хранении (диски, файлы, файловые серверы) • шифрование баз данных • защита информации при передаче по сетям различного типа • защита интеллектуальной собственности. DS Technologies работает в соответствии с индивидуальными требованиями и потребностями заказчика, используя творческий подход в решении самых нестандартных задач.
Визитная карточка
SafeNet
Компания SafeNet (http://www.safenetinc/. com) – один из мировых лидеров в области решений для обеспечения информационной безопасности. Основанная более 25 лет назад, компания с помощью разработанных специалистами SafeNet технологий шифрования обеспечивает полномасштабную защиту информации на всех уровнях ее жизненного цикла. Компания предлагает широкий спектр продуктов, включая аппаратные решения и программное обеспечение, а также микропроцессоры. В числе клиентов компании – ARM, Bank of America, Cisco Systems, Министерство обороны и Министерство национальной безопасности США, Microsoft, Samsung, Texas Instruments, Налоговое управление США и ряд других государственных и коммерческих структур, которые доверяют защиту своей информации решениям SafeNet.
Полный текст статьи читайте в журнале "ПЛАС" 4 (144) ’2009 сc. 55 - 59