17 августа 2012, 16:17
Количество просмотров 203

PCI DSS и "настоящая" безопасность

  Владимир Иванов, Инженер-консультант компании Cisco   Внедрение стандарта PCI DSS идет полным ходом по всему миру, включая Россию. Масштабы и...
PCI DSS и "настоящая" безопасность


  Владимир Иванов, Инженер-консультант компании Cisco
Внедрение стандарта PCI DSS идет полным ходом по всему миру, включая Россию. Масштабы и освещение этого процесса в специализированных СМИ делает его чем-то похожим на социалистическое соревнование минувших лет: процессинговые компании рапортуют об успешно проведенных аудитах, аудиторы выпускают пресс-релизы о росте защищенности сетей, многочисленные аналитики обсуждают направления развития стандарта. В этой благополучной картине есть одна неувязка: число инцидентов информационной безопасности не уменьшается.

В конце декабря 2008 года компания RBS WorldPay, входящая в банковскую группу The Royal Bank of Scotland, сообщила о масштабной утечке данных более чем 1,5 миллиона предоплаченных карт. Кроме того, была похищена информация об 1,1 миллиона номеров социального страхования американских граждан. По сообщению RBS WorldPay, утечка произошла из-за неавторизованного доступа к БД процессингового центра компании1.

Интересно, что незадолго до даты предполагаемого нарушения некоторые коллеги автора настоящей статьи посещали США и расплачивались там своими картами. Впоследствии они получили уведомления от банков, выдавших им карты, о возможном нарушении конфиденциальности данных этих карт, с предложением их перевыпуска. По сообщению одного из банков, платежная система Visa уведомила его о том, что данные карты, возможно, скомпрометированы. Таким образом, нарушение безопасности процессинга в США привело к финансовым потерям (пусть даже и небольшим) со стороны банков в других странах, ведь даже без учета возможных мошеннических операций по скомпрометированным картам банкам пришлось обеспечить их перевыпуск.

В январе 2009 г. другая крупная процессинговая компания – Heartland Payment Systems – сообщила об обнаружении вредоносного программного кода на серверах, обрабатывающих карточные транзакции. Количество номеров карт, подвергшихся компрометации, не разглашается, однако компания сообщила, что зараженные системы обрабатывали до 100 млн транзакций ежемесячно2. Администраторы компании не подозревали об инциденте безопасности до той поры, пока их об этом не уведомили сотрудники платежной системы Visa Inc. Разумеется, обе компании, и RBS WorldPay, и Heartland Payment Systems, к моменту возникновения инцидентов были успешно сертифицированы на соответствие требованиям PCI DSS.


Полный текст статьи читайте в журнале "ПЛАС"6 (146) ’2009 сс. 33 - 36


Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube