Мобильное приложение журнала
Google Play Apple Store
курс цб на 25.08: USD 65.6046 EUR 72.6243
криптовалют: BTC 10140.5$ ETH 190.8$
Журнал ПЛАС » Архив » 2009 » Журнал ПЛАС № 6 (146)2009 » 331 просмотр

PCI DSS и «настоящая» безопасность

PCI DSS и «настоящая» безопасность



  Владимир Иванов, Инженер-консультант компании Cisco


Внедрение стандарта PCI DSS идет полным ходом по всему миру, включая Россию. Масштабы и освещение этого процесса в специализированных СМИ делает его чем-то похожим на социалистическое соревнование минувших лет: процессинговые компании рапортуют об успешно проведенных аудитах, аудиторы выпускают пресс-релизы о росте защищенности сетей, многочисленные аналитики обсуждают направления развития стандарта. В этой благополучной картине есть одна неувязка: число инцидентов информационной безопасности не уменьшается.


В конце декабря 2008 года компания RBS WorldPay, входящая в банковскую группу The Royal Bank of Scotland, сообщила о масштабной утечке данных более чем 1,5 миллиона предоплаченных карт. Кроме того, была похищена информация об 1,1 миллиона номеров социального страхования американских граждан. По сообщению RBS WorldPay, утечка произошла из-за неавторизованного доступа к БД процессингового центра компании1.

Интересно, что незадолго до даты предполагаемого нарушения некоторые коллеги автора настоящей статьи посещали США и расплачивались там своими картами. Впоследствии они получили уведомления от банков, выдавших им карты, о возможном нарушении конфиденциальности данных этих карт, с предложением их перевыпуска. По сообщению одного из банков, платежная система Visa уведомила его о том, что данные карты, возможно, скомпрометированы. Таким образом, нарушение безопасности процессинга в США привело к финансовым потерям (пусть даже и небольшим) со стороны банков в других странах, ведь даже без учета возможных мошеннических операций по скомпрометированным картам банкам пришлось обеспечить их перевыпуск.

В январе 2009 г. другая крупная процессинговая компания – Heartland Payment Systems – сообщила об обнаружении вредоносного программного кода на серверах, обрабатывающих карточные транзакции. Количество номеров карт, подвергшихся компрометации, не разглашается, однако компания сообщила, что зараженные системы обрабатывали до 100 млн транзакций ежемесячно2. Администраторы компании не подозревали об инциденте безопасности до той поры, пока их об этом не уведомили сотрудники платежной системы Visa Inc. Разумеется, обе компании, и RBS WorldPay, и Heartland Payment Systems, к моменту возникновения инцидентов были успешно сертифицированы на соответствие требованиям PCI DSS.


Полный текст статьи читайте в журнале "ПЛАС"6 (146) ’2009 сс. 33 — 36

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных