курс цб на 26.03:
57.4247
61.8636
Лента новостей

При всем богатстве выбора…

Количество просмотров5 просмотров
Want create site? Find Free WordPress Themes and plugins.



Игорь Голдовский, член Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России

Автор статьи ставит ряд вопросов и делает ряд выводов относительно необходимости и эффективности стандарта PCI DSS. Не соблюдая порядка появления в данном материале вопросов/выводов, отвечу/прокомментирую их.

В начале статьи автор задается вопросами: способен ли стандарт PCI DSS обеспечить безопасность платежных карт? Почему его внедрение не приводит к уменьшению числа компрометаций и объема скомпрометированных данных?

Ответы на эти вопросы таковы. Стандарт PCI DSS, как и ни один другой стандарт, не обеспечивает и в принципе не может обеспечить абсолютной стопроцентной безопасности. Стандарт является только необходимым, но недостаточным условием безопасного хранения, обработки и передачи данных держателей карт.

Почему стандарт является необходимым условием? Потому что его требования пришли из жизни, и их невыполнение может привести к компрометации данных. Эксперты PCI SSC, в состав которых входят специалисты безопасности ведущих платежных систем и банков, на основании анализа угроз, полученных из данных реального рынка (а не теоретически, как считает автор), предложили контрмеры (в форме необходимости выполнения требований стандарта), уменьшающие шансы мошенников на успех. Очевидно, автор статьи не может спорить с тем, что выполнение требований стандарта как минимум не ухудшит безопасности карт.

Резонный вопрос, который можно поднять в данном случае: насколько эффективны требования стандарта PCI DSS? Эксперты отвечают – достаточно эффективны при выбранном разумном уровне затрат на внедрение стандарта! К сожалению, мы не говорим о том, сколько потенциальных атак было отражено в результате использования стандарта. Здесь достаточным будет лишь напомнить о том, что все фиксируемые попытки (но не только они) несанкционированного доступа в информационную систему – потенциальные атаки. Мы говорим, что и после внедрения PCI DSS компрометация данных продолжается, но не говорим о том, каким был бы ее уровень в случае отсутствия PCI DSS.

Внедрение программ Visa Account Information Security Programme и MasterCard Site Data Protection, в рамках которых внедряется стандарт PCI DSS, очевидно, снизило потери от кражи данных держателей карт. Теперь уже бывший старший вицепрезидент MasterCard Дэвид Эфрик (David Africk) рассказывал мне, что в США до внедрения PCI DSS было потрачено огромное количество усилий на то, чтобы заставить торговые предприятия не хранить данные второй дорожки магнитной полосы – одной из самых чувствительных с точки зрения последствий компрометации данных информации – в своих информационных системах. Использовались и аргументы, что эти данные магазину не нужны, и увещевания об ответственности, и просительные письма. И все было бесполезно. Сейчас хранение данных магнитной полосы запрещено PCI DSS. В лучшую или в худшую сторону такая мера может повлиять на ситуацию с компрометацией данных?! Итак, требования стандарта PCI DSS как минимум разумны и отражают существующие на рынке угрозы. Можно сделать стандарт более надежным? Конечно, только стоить это будет дороже!


Полный текст статьи читайте в журнале ПЛАС Дайджест’ 2009  сc. 19 — 20

 

Did you find apk for android? You can find new Free Android Games and apps.




В рубриках:
ПЛАС Дайджест 2009

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *