курс цб на 12.12:
59.2348
69.8023

PAYMENTSECURITY 2017: ключевые итоги форума 

7 августа 2017 10:02 Количество просмотров479 просмотров

В Санкт-Петербурге 29 и 30 июня прошла международная конференция #PAYMENTSECURITY 2017, сплотившая порядка 250 специалистов из двух отраслей: финтеха и информационной безопасности. В трёх параллельных залах они обменивались информацией о том, как делать платёжные технологии удобными и безопасными.

Присоединение платежной системы «Мир» к Совету PCI SSC

Пожалуй, одним из самых важных стал доклад генерального директора АО НСПК Владимира Комлева. Весной 2017 года Национальная система платежных карт (оператор платежной системы «Мир») вошла в состав Совета по стандартам безопасности данных индустрии платежных карт (Совет PCI SSC) и приняла стандарты, выпускаемые Советом, включая стандарт PCI DSS. По словам Владимира, платежная система «Мир» вступила в эту организацию не только как платёжная система, но и как представитель Российской Федерации в целом. С вступлением ПС «Мир» в Совет PCI SSC НСПК получает возможность использовать все существующие институты, созданные и развиваемые Советом, и, в том числе, признавать заключения QSA-аудиторов. «Мы не будем придумывать новые аудиты и создавать новые издержки для участников рынка», — заявил Владимир Комлев. В новых условиях отчеты об аудите будут отсылаться участниками рынка в сторону платежной системы «Мир» наравне с другими платежными системами, такими как VISA и MasterCard.

429 июня на площадке #PAYMENTSECURITY, в отдельном зале, состоялось заседание созданной при НСПК рабочей группы по представлению интересов Российской Федерации в Совете PCI SSC. В состав рабочей группы вошли представители всех российских QSA-компаний, а также представители НСПК. В этот раз в заседании принял участие Джереми Кинг (Jeremy King) – международный директор Совета PCI SSC. На заседании обсуждался проект дополнения к стандарту PCI DSS. Планируется, что на первом этапе это дополнение должно быть принято и введено в действие на уровне НСПК. На следующем этапе НСПК планирует вести работу с Советом PCI SSC по включению требований из этого дополнения в текст самого стандарта PCI DSS. Джереми положительно оценил инициативу рабочей группы и активно участвовал в обсуждении требований, включенных в проект дополнения. О проекте дополнения говорил и Владимир Комлев в своем докладе. По его словам, ожидается, что в этот документ будут включаться только точечные и выверенные предложения по адаптации международных стандартов PCI к российской практике и требованиям российских регуляторов, «без переписывания 382-П целиком».

Глобальная безопасность платежей

Джереми Кинг традиционно выступил на #PAYMENTSECURITY с наиболее актуальной информацией о состоянии платёжной безопасности в мире. Он рассказал о беспрецедентном росте масштабов мошенничества, связанного с удаленными методами оплаты (card-not-present): c 220,9 млн. фунтов стерлингов в 2011 году до 432,3 млн. фунтов стерлингов в 2016 году. Совет активно противодействует возрастающим угрозам. В последнее время выпущено множество руководств по различным аспектам обеспечения безопасности платёжных технологий: по облачным вычислениям, виртуализации, беспроводным технологиям, противодействию скиммингу, повышению осведомленности и оценке рисков – все они доступны на сайте Совета. Относительно новый стандарт PCI P2PE, призванный сократить область применимости PCI DSS в среде торгово-сервисных предприятий и снизить издержки на защиту карточных данных, набирает популярность. На данный момент в мире сертифицировано уже 33 P2PE-решения и 69 P2PE-приложений. Кроме того, в Совете ведется активная разработка в области обеспечения безопасности бесконтактных платежных технологий.

По словам Джереми, Совет PCI SSC всерьез занят пересмотром подходов к защите данных в среде мелких торгово-сервисных предприятий, на долю которых приходится существенное количество фактов компрометации карточных данных. Можно ожидать, что в ближайшие годы мы увидим результаты этой работы, в том числе и в новых способах подтверждения соответствия требованиям PCI DSS, применимых к интернет-магазинам.

Джереми заявил, что Совет PCI SSC гордится присоединением к нему платежной системы «Мир» в качестве аффилированного члена. Он уверен, что совместная работа организаций усилит безопасность карточных платежей. Джереми отметил факт принятия и публикации Советом PCI SSC официального русскоязычного перевода стандарта PCI DSS и поблагодарил Ассоциацию АБИСС за качественно выполненный перевод.

Новое в стандартах безопасности PCI

Кристина Андреева – QSA-аудитор компании Deiteriy – рассказала об основных нововведениях в стандартах PCI и о том, к чему всем следует подготовиться до 1 февраля и 30 июня 2018 года. Основные тезисы:

— Тестирование на проникновение в целях проверки сегментации по стандарту PCI DSS следует выполнять не реже 1 раза в 6 месяцев, а не раз в год, как это было ранее. Требование применимо только к поставщикам услуг. Требование вступает в силу с 1 февраля 2018 года.

— Необходимо иметь в компании документацию, описывающую применяемые в целях PCI DSS криптографические решения. Требование применимо только к поставщикам услуг.  Требование вступает в силу с 1 февраля 2018 года.

— Не позднее 30 июня 2018 года все компании, к которым применимы требования стандарта PCI DSS, должны полностью отказаться от применения устаревшего протокола SSL любых версий, а также протокола TLS устаревшей версии 1.0. Это весьма болезненное требование, поскольку до сих пор в мире используется довольно много устройств, не поддерживающих современные версии протоколов шифрования, таких как TLS версии 1.2.

— В новые листы самооценки SAQ версии 3.2 Советом PCI SSC включено больше требований из стандарта PCI DSS, чем было в их предыдущих версиях. Например, в листе самооценки SAQ-A появились некоторые элементарные требования к безопасной конфигурации веб-сервера, что особенно актуально для интернет-магазинов, применяющих технологию iFrame или переадресацию покупателя на страницу платежного шлюза для ввода карточных данных.

— Советом PCI SSC выпущено несколько новых пояснительных документов, в частности документ о сегментации, документ о мультифакторной аутентификации и документ о безопасности электронной коммерции.

— Официальный русскоязычный перевод стандарта PCI DSS версии 3.2, выполненный Ассоциацией АБИСС и компанией Deiteriy, теперь доступен на сайте Совета по адресу https://ru.pcisecuritystandards.org.

О мире киберпреступности

Алексей Лукацкий в своем докладе «Становление финансовой корпорации «Киберкрайм и сыновья»: от подворотни до транснационального гиганта» на живых примерах и цифрах рассказал о современном состоянии черного хакерского рынка. Киберпреступность, по утверждению Алексея, — это хорошо организованное сообщество, жестко подчиненное одной цели – заработать. И для этой цели выбираются лучшие из представленных на рынке бизнес-моделей, которые не просто копируют, а иногда и превосходят то, что происходит в легальном бизнесе. Ведь киберпреступники не скованы никакими ограничениями. Им не надо платить налоги, получать лицензии и проходить проверки. Они динамичны, скрытны и умны. И чтобы с ними бороться, надо это понимать.

Поможет ли искусственный интеллект в борьбе с мошенничеством?

Два практических доклада были посвящены теме машинного обучения и применения искусственного интеллекта для борьбы с мошенничеством в платёжной индустрии – это доклады Дмитрия Петухова и Рустэма Хайретдинова. По мнению Рустэма, безоглядное применение алгоритмов, ассоциированных с искусственным интеллектом в системах информационной безопасности, лишь ради модного тренда, может скорее ухудшить эффективность систем защиты. Применять машинное обучение и глубокое обучение стоит только там, где они могут уменьшить количество ложных срабатываний сравнительно с системами с обратной связью. Эффективны системы с элементами искусственного интеллекта там,  где они могут заменить человека в рутинных операциях: защита веб-приложений, противодействие мошенничеству, реагирование на инциденты информационной безопасности и др. Каждая из описанных задач требует отдельного подхода, подготовки данных и настройки своих алгоритмов, поскольку эти системы очень чувствительны к доле ложных срабатываний, которые могут быть приемлемы, например, при распознавании лиц, но катастрофичны при решении задач ИБ.

54-ФЗ и онлайн-кассы

1 июля 2017 года – непростая дата для участников российского рынка электронной коммерции. Согласно требованиям относительно нового федерального закона №54-ФЗ, все они должны начать применять онлайн-кассы и предоставлять покупателям электронные чеки в момент совершения покупки. С одной стороны, это весьма болезненно для рынка: требование есть, его соблюдение стоит денег, технологии для его реализации только начинают появляться, а в формулировках от регуляторов многое пока непонятно, и есть вопросы, на которые регуляторы пока не дают ответов. С другой стороны, это новый рынок не только для производителей кассовой техники, но и для поставщиков онлайн-сервисов, которые могут избавить интернет-магазины от хлопот по реализации требований и предложить им облачные онлайн-кассы как сервис с удобным интерфейсом подключения и посильной абонентской платой. А главное – онлайн-кассы избавляют интернет-магазины от обязанности отправлять каждому покупателю бумажный чек о покупке, которой, в прочем, ранее многие пренебрегали.

1Как рассказал Олег Седов – ведущий круглого стола «Что принес платежной отрасли 54-ФЗ» – ему не пришлось использовать ни один из заранее заготовленных вопросов к докладчикам, поскольку вопросов из зала оказалось более, чем достаточно. Диалог по этой теме получился горячий и конструктивный, из чего можно сделать предположение, что рано или поздно рынок её освоит и научится работать в условиях обязательного применения онлайн-касс.

 По материалам оргкомитета PAYMENTSECURITY

 




В рубриках:
Форум экспертов
Форум экспертов
Альфа-Банк: Мы готовы активно помогать финтехам, которые несут ценность для клиента
О том, как оценивают белорусские финтех-проекты, какие препятствия для развития финтеха в нашей стране существуют сегодня и как их можно устранить, рассказывает ТОП-менеджер белорусского Альфа-Банка, член правления, руководитель по информационными технологиям Андрей Косач.
11 декабря 2017 14:25
USABILITYLAB поделилась результатами оценки доступности интернет-банков для физлиц 2017
Российские банки все больше внимания уделяют вопросу удобства онлайн-сервисов. Однако доступность интернет-банков для людей с инвалидностью остается на низком уровне. О проблемах доступности и о способах их решения рассказали коммерческий директор USABILITYLAB Дмитрий Силаев и ведущий юзабилити-специалист Татьяна Миронова.
11 декабря 2017 14:08
Единая Биометрическая Система: что ждать от запуска ЕБС? 
Единую биометрическую систему в России обещают запустить в середине 2018 года. Директор по развитию Biosmart Александр Горшков рассказал, что ждать от внедрения ЕБС и к чему готовиться. 
5 декабря 2017 15:14
Лента новостей
Форум экспертов
Регуляторы ЦБ приобрел 99,9% акций ФК «Открытие»
11 декабря 2017 15:30
Количество просмотров 382 просмотра
Банки и МФО Тинькофф Мобайл запустят 13 декабря
11 декабря 2017 15:07
Количество просмотров 342 просмотра
Банки и МФО Онлайн-заемщики МФО предпочитают Apple
11 декабря 2017 11:39
Количество просмотров 178 просмотров
Наличные ЦБ выпустил памятные монеты к ЧМ-2018
5 декабря 2017 18:16
Количество просмотров 307 просмотров
Подпишитесь на рассылку и получайте только самые важные новости!
1/6
Спасибо за подписку!