курс цб на 22.08:
59.1409
69.4314

В Москве прошел семинар «PCI DSS: Информационная безопасность в индустрии платежных карт»

17 августа 2012 16:17 Количество просмотров49 просмотров

Компания «Информзащита» уже в третий раз проводит семинар по проблематике PCI Compliance для представителей кредитно-финансовых структур и крупных розничных компаний. Опыт, полученный специалистами «Информзащиты» в ходе проведения аудитов, показывает, что представители банков и процессинговых центров не всегда достаточно четко представляют себе, что именно требуется для внедрения стандарта PCI DSS. Зачастую, прежде чем начать работу по подготовке к процедуре аудита, возникает необходимость в подробном разъяснении клиентам положений стандарта. Именно поэтому «Информзащита» проводит подобные семинары, на которых проходит совместное обсуждение всех требований стандарта и которые помогают внести ясность в процедуру проведения аудита и выполнения его требований. Последнее мероприятие собрало больше 60 представителей наиболее активных участников рынка, заинтересованных во внедрении PCI DSS в своих структурах.

На семинаре представили свои доклады специалисты и сертифицированные аудиторы компании «Информзащита». Директор департамента аудита компании «Информзащита» Максим Эмм выступил с обзором стандарта PCI DSS и его требований. В своей презентации докладчик в общих чертах коснулся требований PCI DSS, области его применения, рассказал о зонах ответственности PCI SSC, международных платежных систем и компанийQSA, затронул тему компенсационных мер и рассказал о стандартах PA-DSS и PED.

Начальник отдела аудита платежных систем компании «Информзащита» Анна Гольдштейн представила доклад, посвященный PCI Compliance в России. Она привела собственные статистические данные компании по соответствию требованиям стандарта. Так, в среднем по результатам первого аудита компании-заказчики достигают 53%-ного соответствия требованиям, после второго аудита ситуация улучшается, и в среднем компании достигают уровня 72%-ного соответствия. Далее А. Гольдштейн развенчала основные мифы и легенды вокруг PCI DSS. В их числе – такие распространенные заблуждения, как отношение к PCI DSS как к чисто техническому стандарту, надежды на то, что можно выполнить только часть его требований, чтобы получить сертификат соответствия, уверенность, что внедрение соответствующего ПО и оборудования уже само по себе позволит закрыть полностью то или иное требование. В заключительной части презентации были подняты вопросы, касающиеся основных проблем, с которыми приходится сталкиваться при внедрении стандарта, и приведены варианты их решения. В своем следующем докладе А. Гольдштейн рассказала о подходах к классификации организаций и привела примеры схем работы по достижению соответствия стандарту.

Последовавший затем блок докладов был посвящен отдельным работам в рамках требований стандарта, а именно проведению сканирований, теста на проникновение и сертификационного аудита. В рамках докладов была представлена интересная статистика от компании Verizonebusiness. Согласно ее данным, наиболее популярными методами проникновения являются неавторизованный доступ через пароли по умолчанию, разделяемые или украденные пароли, SQL-инъекции, некорректные ограничения и ACL, обход аутентификации. Основными источниками проникновения в подавляющем большинстве были внешние источники (74%), а также партнеры (32%). На долю внутренних источников пришлось всего 20% проникновений. Также были рассмотрены типовые ошибки, связанные с проведением сканирований, которые вскрываются на аудитах. К последним относятся следующие: сканирование осуществлялось несертифицированным ASV, не проводится сканирование всех публичных адресов, безопасность которых связана с процессингом, обнаруженные уязвимости не устраняются, не сканируются DNS-серверы провайдера в тех случаях, когда у компании нет собственных.

В заключение семинара с докладами выступили представители вендоров – Николай Данюков, ведущий консультант компании Oracle, и Владимир Иванов, инженер-консультант компании Cisco. В своем докладе Николай Данюков представил основные опции безопасности в СУБД Oracle, а Владимир Иванов рассказал об использовании программных решений Cisco для контроля выполнения требований стандарта PCI DSS. Семинар завершился оживленной дискуссией, в рамках которой его участники обменялись своими взглядами на основные вопросы прохождения аудита по PCI DSS.





В рубриках:
Журнал ПЛАС № 5 (145) 2009
Лента новостей
Журнал ПЛАС № 5 (1 ...
Digital banking Чат-боты используют 18% банков
22 августа 2017 15:01
Количество просмотров 169 просмотров
Наличные Инкассация с IBNS: прощай, оружие?
18 августа 2017 13:29
Количество просмотров 0 просмотров
Наличные ЦБ начнет выпуск пластиковых денег 
18 августа 2017 10:28
Количество просмотров 279 просмотров
Digital banking ВТБ обновил Мобильный банк на iOS
16 августа 2017 11:46
Количество просмотров 204 просмотра
Мероприятия Dell EMC Forum пройдет в Москве 5 октября
16 августа 2017 09:43
Количество просмотров 166 просмотров