курс цб на 24.06:
59.6564
66.678
Лента новостей
Журнал ПЛАС № 4 (1 ...
Digital banking ДБО как фабрика user experience
22 июня 2017 12:00
Количество просмотров 4 просмотра
ЖУРНАЛ ПЛАС №5 Календарь событий
20 июня 2017 18:12
Количество просмотров 14 просмотров
ЖУРНАЛ ПЛАС №5 17 моментов безопасности
20 июня 2017 16:12
Количество просмотров 22 просмотра
Регуляторы ЦБ снизил ключевую ставку до 9%
16 июня 2017 14:29
Количество просмотров 215 просмотров

PCI DSS: обратная сторона медали

Количество просмотров46 просмотров

Как известно, повышение безопасности индустрии платежных карт – основная задача Стандарта безопасности данных индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard), определяющего требования к хранению, обработке и передаче данных держателей карт, а также независимого Совета по стандартам безопасности индустрии платежных карт PCI SSC (PCI Security Standards Council, созданного в сентябре 2006 г. в рамках совместной инициативы American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc. для координации работы по разработке и дальнейшему развитию PCI DSS. Итак, попробуем проанализировать, насколько успешно эта задача решается в индустрии платежных карт на современном этапе.

Не рассматривая сам стандарт, выделим одно из основных его требований: необходимость защищать, обычно криптографическими средствами, номер платежной карты. По данным компании VeriSign, которая ежегодно проводит более 100 аудиторских проверок на соответствие стандарту PCI DSS, невыполнение данного требования – самая распространенная причина (79%) непрохождения процедуры сертификации на соответствие стандарту. На первый взгляд, данное требование является вполне оправданным, т.к. должно предотвратить компрометацию банковских счетов и хищение размещенных на них денежных средств. Однако при более глубоком анализе возникает ряд вопросов, ответы на которые не делают данное требование столь однозначно оправданным и очевидным.

Обычно необходимость шифровать номер карты при его хранении аргументируется тем, что при хищении зашифрованных данных, например, из процессинговых центров, их компрометации не произойдет. То, что такие утечки иногда происходят, можно подтвердить, вспомнив известный инцидент, произошедший в июне 2005 года в компании CardSystems Solutions, когда были похищены около 40 млн номеров карт.

Но давайте посмотрим, что именно способен сделать злоумышленник, обладающий номером карты, в приложении к современным карточным технологиям.

Список сертифицированных на соответствие стандарту PCI DSS компаний, в которых за последнее время были скомпрометированы данные держателей карт

Полный текст статьи читайте в журнале "ПЛАС" 4 (144) ’2009 сc. 60 — 63





В рубриках:
Журнал ПЛАС № 4 (144) 2009