курс цб на 18.11:
59.6325
70.3604

PCI DSS и «настоящая» безопасность

17 августа 2012 16:17 Количество просмотров73 просмотра


  Владимир Иванов, Инженер-консультант компании Cisco

Внедрение стандарта PCI DSS идет полным ходом по всему миру, включая Россию. Масштабы и освещение этого процесса в специализированных СМИ делает его чем-то похожим на социалистическое соревнование минувших лет: процессинговые компании рапортуют об успешно проведенных аудитах, аудиторы выпускают пресс-релизы о росте защищенности сетей, многочисленные аналитики обсуждают направления развития стандарта. В этой благополучной картине есть одна неувязка: число инцидентов информационной безопасности не уменьшается.

В конце декабря 2008 года компания RBS WorldPay, входящая в банковскую группу The Royal Bank of Scotland, сообщила о масштабной утечке данных более чем 1,5 миллиона предоплаченных карт. Кроме того, была похищена информация об 1,1 миллиона номеров социального страхования американских граждан. По сообщению RBS WorldPay, утечка произошла из-за неавторизованного доступа к БД процессингового центра компании1.

Интересно, что незадолго до даты предполагаемого нарушения некоторые коллеги автора настоящей статьи посещали США и расплачивались там своими картами. Впоследствии они получили уведомления от банков, выдавших им карты, о возможном нарушении конфиденциальности данных этих карт, с предложением их перевыпуска. По сообщению одного из банков, платежная система Visa уведомила его о том, что данные карты, возможно, скомпрометированы. Таким образом, нарушение безопасности процессинга в США привело к финансовым потерям (пусть даже и небольшим) со стороны банков в других странах, ведь даже без учета возможных мошеннических операций по скомпрометированным картам банкам пришлось обеспечить их перевыпуск.

В январе 2009 г. другая крупная процессинговая компания – Heartland Payment Systems – сообщила об обнаружении вредоносного программного кода на серверах, обрабатывающих карточные транзакции. Количество номеров карт, подвергшихся компрометации, не разглашается, однако компания сообщила, что зараженные системы обрабатывали до 100 млн транзакций ежемесячно2. Администраторы компании не подозревали об инциденте безопасности до той поры, пока их об этом не уведомили сотрудники платежной системы Visa Inc. Разумеется, обе компании, и RBS WorldPay, и Heartland Payment Systems, к моменту возникновения инцидентов были успешно сертифицированы на соответствие требованиям PCI DSS.


Полный текст статьи читайте в журнале "ПЛАС"6 (146) ’2009 сс. 33 — 36




В рубриках:
Журнал ПЛАС № 6 (146)2009
Лента новостей
Журнал ПЛАС № 6 (1 ...
Технологии SIM-карта заменит паспорт?
15 ноября 2017 10:39
Количество просмотров 274 просмотра
Банки и МФО «Госбанк» с дружеским лицом
14 ноября 2017 14:41
Количество просмотров 690 просмотров
Криптовалюты Курс биткоина упал почти на 30%
13 ноября 2017 10:01
Количество просмотров 224 просмотра