курс цб на 22.10:
57.5118
67.8927

PAYMENTSECURITY 2017: ключевые итоги форума 

7 августа 2017 10:02 Количество просмотров433 просмотра

В Санкт-Петербурге 29 и 30 июня прошла международная конференция #PAYMENTSECURITY 2017, сплотившая порядка 250 специалистов из двух отраслей: финтеха и информационной безопасности. В трёх параллельных залах они обменивались информацией о том, как делать платёжные технологии удобными и безопасными.

Присоединение платежной системы «Мир» к Совету PCI SSC

Пожалуй, одним из самых важных стал доклад генерального директора АО НСПК Владимира Комлева. Весной 2017 года Национальная система платежных карт (оператор платежной системы «Мир») вошла в состав Совета по стандартам безопасности данных индустрии платежных карт (Совет PCI SSC) и приняла стандарты, выпускаемые Советом, включая стандарт PCI DSS. По словам Владимира, платежная система «Мир» вступила в эту организацию не только как платёжная система, но и как представитель Российской Федерации в целом. С вступлением ПС «Мир» в Совет PCI SSC НСПК получает возможность использовать все существующие институты, созданные и развиваемые Советом, и, в том числе, признавать заключения QSA-аудиторов. «Мы не будем придумывать новые аудиты и создавать новые издержки для участников рынка», — заявил Владимир Комлев. В новых условиях отчеты об аудите будут отсылаться участниками рынка в сторону платежной системы «Мир» наравне с другими платежными системами, такими как VISA и MasterCard.

429 июня на площадке #PAYMENTSECURITY, в отдельном зале, состоялось заседание созданной при НСПК рабочей группы по представлению интересов Российской Федерации в Совете PCI SSC. В состав рабочей группы вошли представители всех российских QSA-компаний, а также представители НСПК. В этот раз в заседании принял участие Джереми Кинг (Jeremy King) – международный директор Совета PCI SSC. На заседании обсуждался проект дополнения к стандарту PCI DSS. Планируется, что на первом этапе это дополнение должно быть принято и введено в действие на уровне НСПК. На следующем этапе НСПК планирует вести работу с Советом PCI SSC по включению требований из этого дополнения в текст самого стандарта PCI DSS. Джереми положительно оценил инициативу рабочей группы и активно участвовал в обсуждении требований, включенных в проект дополнения. О проекте дополнения говорил и Владимир Комлев в своем докладе. По его словам, ожидается, что в этот документ будут включаться только точечные и выверенные предложения по адаптации международных стандартов PCI к российской практике и требованиям российских регуляторов, «без переписывания 382-П целиком».

Глобальная безопасность платежей

Джереми Кинг традиционно выступил на #PAYMENTSECURITY с наиболее актуальной информацией о состоянии платёжной безопасности в мире. Он рассказал о беспрецедентном росте масштабов мошенничества, связанного с удаленными методами оплаты (card-not-present): c 220,9 млн. фунтов стерлингов в 2011 году до 432,3 млн. фунтов стерлингов в 2016 году. Совет активно противодействует возрастающим угрозам. В последнее время выпущено множество руководств по различным аспектам обеспечения безопасности платёжных технологий: по облачным вычислениям, виртуализации, беспроводным технологиям, противодействию скиммингу, повышению осведомленности и оценке рисков – все они доступны на сайте Совета. Относительно новый стандарт PCI P2PE, призванный сократить область применимости PCI DSS в среде торгово-сервисных предприятий и снизить издержки на защиту карточных данных, набирает популярность. На данный момент в мире сертифицировано уже 33 P2PE-решения и 69 P2PE-приложений. Кроме того, в Совете ведется активная разработка в области обеспечения безопасности бесконтактных платежных технологий.

По словам Джереми, Совет PCI SSC всерьез занят пересмотром подходов к защите данных в среде мелких торгово-сервисных предприятий, на долю которых приходится существенное количество фактов компрометации карточных данных. Можно ожидать, что в ближайшие годы мы увидим результаты этой работы, в том числе и в новых способах подтверждения соответствия требованиям PCI DSS, применимых к интернет-магазинам.

Джереми заявил, что Совет PCI SSC гордится присоединением к нему платежной системы «Мир» в качестве аффилированного члена. Он уверен, что совместная работа организаций усилит безопасность карточных платежей. Джереми отметил факт принятия и публикации Советом PCI SSC официального русскоязычного перевода стандарта PCI DSS и поблагодарил Ассоциацию АБИСС за качественно выполненный перевод.

Новое в стандартах безопасности PCI

Кристина Андреева – QSA-аудитор компании Deiteriy – рассказала об основных нововведениях в стандартах PCI и о том, к чему всем следует подготовиться до 1 февраля и 30 июня 2018 года. Основные тезисы:

— Тестирование на проникновение в целях проверки сегментации по стандарту PCI DSS следует выполнять не реже 1 раза в 6 месяцев, а не раз в год, как это было ранее. Требование применимо только к поставщикам услуг. Требование вступает в силу с 1 февраля 2018 года.

— Необходимо иметь в компании документацию, описывающую применяемые в целях PCI DSS криптографические решения. Требование применимо только к поставщикам услуг.  Требование вступает в силу с 1 февраля 2018 года.

— Не позднее 30 июня 2018 года все компании, к которым применимы требования стандарта PCI DSS, должны полностью отказаться от применения устаревшего протокола SSL любых версий, а также протокола TLS устаревшей версии 1.0. Это весьма болезненное требование, поскольку до сих пор в мире используется довольно много устройств, не поддерживающих современные версии протоколов шифрования, таких как TLS версии 1.2.

— В новые листы самооценки SAQ версии 3.2 Советом PCI SSC включено больше требований из стандарта PCI DSS, чем было в их предыдущих версиях. Например, в листе самооценки SAQ-A появились некоторые элементарные требования к безопасной конфигурации веб-сервера, что особенно актуально для интернет-магазинов, применяющих технологию iFrame или переадресацию покупателя на страницу платежного шлюза для ввода карточных данных.

— Советом PCI SSC выпущено несколько новых пояснительных документов, в частности документ о сегментации, документ о мультифакторной аутентификации и документ о безопасности электронной коммерции.

— Официальный русскоязычный перевод стандарта PCI DSS версии 3.2, выполненный Ассоциацией АБИСС и компанией Deiteriy, теперь доступен на сайте Совета по адресу https://ru.pcisecuritystandards.org.

О мире киберпреступности

Алексей Лукацкий в своем докладе «Становление финансовой корпорации «Киберкрайм и сыновья»: от подворотни до транснационального гиганта» на живых примерах и цифрах рассказал о современном состоянии черного хакерского рынка. Киберпреступность, по утверждению Алексея, — это хорошо организованное сообщество, жестко подчиненное одной цели – заработать. И для этой цели выбираются лучшие из представленных на рынке бизнес-моделей, которые не просто копируют, а иногда и превосходят то, что происходит в легальном бизнесе. Ведь киберпреступники не скованы никакими ограничениями. Им не надо платить налоги, получать лицензии и проходить проверки. Они динамичны, скрытны и умны. И чтобы с ними бороться, надо это понимать.

Поможет ли искусственный интеллект в борьбе с мошенничеством?

Два практических доклада были посвящены теме машинного обучения и применения искусственного интеллекта для борьбы с мошенничеством в платёжной индустрии – это доклады Дмитрия Петухова и Рустэма Хайретдинова. По мнению Рустэма, безоглядное применение алгоритмов, ассоциированных с искусственным интеллектом в системах информационной безопасности, лишь ради модного тренда, может скорее ухудшить эффективность систем защиты. Применять машинное обучение и глубокое обучение стоит только там, где они могут уменьшить количество ложных срабатываний сравнительно с системами с обратной связью. Эффективны системы с элементами искусственного интеллекта там,  где они могут заменить человека в рутинных операциях: защита веб-приложений, противодействие мошенничеству, реагирование на инциденты информационной безопасности и др. Каждая из описанных задач требует отдельного подхода, подготовки данных и настройки своих алгоритмов, поскольку эти системы очень чувствительны к доле ложных срабатываний, которые могут быть приемлемы, например, при распознавании лиц, но катастрофичны при решении задач ИБ.

54-ФЗ и онлайн-кассы

1 июля 2017 года – непростая дата для участников российского рынка электронной коммерции. Согласно требованиям относительно нового федерального закона №54-ФЗ, все они должны начать применять онлайн-кассы и предоставлять покупателям электронные чеки в момент совершения покупки. С одной стороны, это весьма болезненно для рынка: требование есть, его соблюдение стоит денег, технологии для его реализации только начинают появляться, а в формулировках от регуляторов многое пока непонятно, и есть вопросы, на которые регуляторы пока не дают ответов. С другой стороны, это новый рынок не только для производителей кассовой техники, но и для поставщиков онлайн-сервисов, которые могут избавить интернет-магазины от хлопот по реализации требований и предложить им облачные онлайн-кассы как сервис с удобным интерфейсом подключения и посильной абонентской платой. А главное – онлайн-кассы избавляют интернет-магазины от обязанности отправлять каждому покупателю бумажный чек о покупке, которой, в прочем, ранее многие пренебрегали.

1Как рассказал Олег Седов – ведущий круглого стола «Что принес платежной отрасли 54-ФЗ» – ему не пришлось использовать ни один из заранее заготовленных вопросов к докладчикам, поскольку вопросов из зала оказалось более, чем достаточно. Диалог по этой теме получился горячий и конструктивный, из чего можно сделать предположение, что рано или поздно рынок её освоит и научится работать в условиях обязательного применения онлайн-касс.

 По материалам оргкомитета PAYMENTSECURITY

 




В рубриках:
Форум экспертов
Форум экспертов
Блокчейн – реальность или утопия? Мнение профессионалов
На международном форуме Sibos 2017, проходящем 16-19 октября в канадском Торонто, радужный оптимизм одних участников мероприятия – сторонников блокчейна, столкнулся с расчетливым прагматизмом других в ходе сессии, посвященной использованию блокчейна в сфере наличных платежей и расчетов по операциям с ценными бумагами.
18 октября 2017 15:00
Платежи в системе Swift: станет ли PCI DSS руководством по их защите? 
Заместитель руководителя глобальных транзакционных и платежных услуг Филипп Лепутр и директор по информационной безопасности Тьерри Оливье, фирма SocGen, дали оценку программы безопасности клиентов Swift (Customer Security Programme, CSP) и проанализировали возможные сценарии ее дальнейшего развития  с целью повышения сетевой безопасности потоков межбанковских платежей.
13 октября 2017 13:28
Виктор Достов об «антикарточной» директиве, удаленной идентификации и технологии блокчейн
Председатель Совета Ассоциации участников рынка электронных денег и денежных переводов Виктор Достов делится мнением о том, куда движется рынок розничных финансовых услуг, и каковы новейшие тенденции регулирования в этой сфере, как развиваются институты удаленной идентификации клиентов и какое место занимают во всех этих трансформациях блокчейн и криптовалюты.
10 октября 2017 12:42
Лента новостей
Форум экспертов
Банки и МФО API-стратегию имеют 43% банков в мире
20 октября 2017 12:40
Количество просмотров 188 просмотров
Технологии Big Data для корпоративного бизнеса
18 октября 2017 13:02
Количество просмотров 1194 просмотра
Мероприятия SOC-Форум 2017 — 22 ноября в Москве
17 октября 2017 10:20
Количество просмотров 243 просмотра
Криптовалюты Crypterium: как работает криптобанк?
13 октября 2017 14:36
Количество просмотров 899 просмотров
Регуляторы Банкноты 200 и 2000 рублей: какие они?
12 октября 2017 15:00
Количество просмотров 530 просмотров
Технологии Сбербанк выводит роботов на работу
12 октября 2017 14:02
Количество просмотров 1116 просмотров