курс цб на 21.10:
57.5118
67.8927

PCI DSS: обратная сторона медали

17 августа 2012 16:17 Количество просмотров89 просмотров

Как известно, повышение безопасности индустрии платежных карт – основная задача Стандарта безопасности данных индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard), определяющего требования к хранению, обработке и передаче данных держателей карт, а также независимого Совета по стандартам безопасности индустрии платежных карт PCI SSC (PCI Security Standards Council, созданного в сентябре 2006 г. в рамках совместной инициативы American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc. для координации работы по разработке и дальнейшему развитию PCI DSS. Итак, попробуем проанализировать, насколько успешно эта задача решается в индустрии платежных карт на современном этапе.

Не рассматривая сам стандарт, выделим одно из основных его требований: необходимость защищать, обычно криптографическими средствами, номер платежной карты. По данным компании VeriSign, которая ежегодно проводит более 100 аудиторских проверок на соответствие стандарту PCI DSS, невыполнение данного требования – самая распространенная причина (79%) непрохождения процедуры сертификации на соответствие стандарту. На первый взгляд, данное требование является вполне оправданным, т.к. должно предотвратить компрометацию банковских счетов и хищение размещенных на них денежных средств. Однако при более глубоком анализе возникает ряд вопросов, ответы на которые не делают данное требование столь однозначно оправданным и очевидным.

Обычно необходимость шифровать номер карты при его хранении аргументируется тем, что при хищении зашифрованных данных, например, из процессинговых центров, их компрометации не произойдет. То, что такие утечки иногда происходят, можно подтвердить, вспомнив известный инцидент, произошедший в июне 2005 года в компании CardSystems Solutions, когда были похищены около 40 млн номеров карт.

Но давайте посмотрим, что именно способен сделать злоумышленник, обладающий номером карты, в приложении к современным карточным технологиям.

Список сертифицированных на соответствие стандарту PCI DSS компаний, в которых за последнее время были скомпрометированы данные держателей карт

Полный текст статьи читайте в журнале "ПЛАС" 4 (144) ’2009 сc. 60 — 63




В рубриках:
Журнал ПЛАС № 4 (144) 2009
Лента новостей
Журнал ПЛАС № 4 (1 ...
Банки и МФО API-стратегию имеют 43% банков в мире
20 октября 2017 12:40
Количество просмотров 153 просмотра
Технологии Big Data для корпоративного бизнеса
18 октября 2017 13:02
Количество просмотров 1175 просмотров
Мероприятия SOC-Форум 2017 — 22 ноября в Москве
17 октября 2017 10:20
Количество просмотров 236 просмотров
Криптовалюты Crypterium: как работает криптобанк?
13 октября 2017 14:36
Количество просмотров 869 просмотров
Регуляторы Банкноты 200 и 2000 рублей: какие они?
12 октября 2017 15:00
Количество просмотров 520 просмотров
Технологии Сбербанк выводит роботов на работу
12 октября 2017 14:02
Количество просмотров 1102 просмотра