Стандарт безопасности данных индустрии платежных карт (PCI DSS): эффект от сертификации

Доверие держателей карт к компаниями и организациям, имеющим доступ к их персональной информации, было ощутимо подорвано за последнее время. Соответствие стандарту PCI DSS поможет компаниям восстановить это доверие и избежать огромных потерь. Какие же результаты достигнуты на данный момент, насколько активно и успешно проходят банки сертификацию на соответствие этому стандарту?

Всевозрастающее количество рисков компрометации данных держателей карт и случаев взлома систем, работающих с картами, обусловливает необходимость более строгого контроля обеспечения защиты конфиденциальных данных держателей карт.

Если говорить о наиболее масштабных преступлениях в карточной индустрии за последние годы, можно привести весьма обширный перечень "успешных инициатив" киберпреступников.

НЫНЕШНЯЯ СИТУАЦИЯ

Так, в 2005 г американская процессинговая компания Card System Solutions заявила о компрометации преступниками конфиденциальных данных более 40 млн держателей карт. В январе 2007 г. хакеры получили доступ к данным приблизительно 100 млн карт компании TJX (оператора дисконтных сетей Т. J. Махх в США и ТК Махх в Европе).

Уже сравнительно недавно, в 2008 году, более 12 млн клиентов Bank of New York Mellon пострадали в результате нарушения банком политики безопасности, в результате чего были скомпрометированы конфиденциальные данные держателей карт, включая реквизиты документов социального обеспечения, фамилии, адреса и даты рождения.

Сегодня, наученный горьким опытом, банк тщательно пересматривает свою политику обеспечения безопасности и процедур, а также предпринимает необходимые шаги, чтобы гарантировать введение лучших в индустрии мер безопасности во всех направлениях своего бизнеса.

Доверие держателей карт к различным компаниями и организациям, имеющим доступ к их персональной информации (на этом доверии, собственно, и зиждется успешная деятельность международных платежных систем по всему миру) было ощутимо подорвано этими случаями нарушения условий обеспечения безопасности, получившими широкий резонанс во всех регионах. Таким образом, для того чтобы повысить уровень доверия конечных пользователей, сегодня жизненно важно сократить до минимума возможности нарушений политики безопасности системы и утечки конфиденциальных данных.

Соответствие стандарту безопасности данных индустрии платежных карт (PCI DSS) поможет компаниям восстановить доверие держателей карт и одновременно избежать огромных потерь из-за подобных нарушений, не говоря уже о зачастую непоправимом ущербе для репутации того или иного участника рынка.

КРАТКАЯ ИСТОРИЯ PCI DSS

Стандарт безопасности данных индустрии платежных карт был разработан международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc. в 2004 г. в качестве единого набора требований к безопасности данных, объединившего в себе требования ряда программ по безопасности этих платежных систем. Цель данного стандарта состоит в обеспечении защиты данных держателей карт и предотвращении случаев мошенничества с картами путем повышения уровня безопасности в индустрии в целом. Действие PCI DSS распространяется на все торгово-сервисные предприятия, процессинговые центры, кредитно-финансовые организации и поставщиков услуг, работающих с международными платежными системами, т. е. на любую компанию или организацию, которая передает, обрабатывает и хранит конфиденциальные данные держателей карт.

7 сентября 2006 г. платежные системы American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa International выступили с совместным заявлением о создании независимого Совета по стандартам безопасности (PCI Security Standards Council), основным направлением деятельности которого стала координация работы по разработке и развитию PCI DSS. По оценкам экспертов, это событие стало закономерным этапом в деятельности платежных систем по защите данных держателей карт, подчеркивающим исключительно важное значение этой задачи в мировом масштабе. Создав независимый Совет для работы над стандартом безопасности PCI, его основатели развивают систему, максимально доступную и эффективную для всех участников платежного процесса, включая торгово-сервисные предприятия, процессинговые центры и финансовые организации.

Совет действует как консультационная группа и осуществляет общую разработку стандартов безопасности PCI. Каждый участник имеет возможность предлагать изменения, вносить вклад в будущие проекты, участвовать в разработке дополнений к стандартам безопасности, а также влиять на деятельность организации в целом. Кроме того, организации-участники имеют право выбирать и быть избранными в консультативный орган Совета по стандартам безопасности PCI.

В числе стоящих перед Советом задач – развитие и укрепление глобального стандарта безопасности технических данных для защиты информации о держателях карт, сокращение издержек и сроков внедрения стандарта безопасности данных путем создания единых технических нормативов и процедур проверки для использования всеми платежными системами, а также создание базы данных квалифицированных разработчиков решений в области безопасности.

Новая структура начала свою деятельность с принятия стандарта информационной безопасности PCI Data Security Standard v. 1.1, направленного на определение уровня обеспечения безопасности информации о держателях карт, а также с формирования рекомендаций для торгово-сервисных предприятий, производителей и поставщиков программных решений и терминального оборудования о мерах, необходимых для повышения уровня защиты используемого программного обеспечения.

Представленная 1 октября 2008 года новая версия 1.2 стандарта PCI DSS не предусматривает введение каких-либо серьезных новых требований в дополнение к тем двенадцати существующим, который действовали изначально. Выпуск пересмотренной версии PCI DSS осуществлен в соответствии с изначально согласованным процессом жизненного цикла стандарта, который предусматривает его пересмотр и обновление с периодичностью раз в два года. Как отмечает PCI Security Standards Council, основные изменения в версии 1.2 являются разъяснениями и комментариями к существующим требованиям.

Разработанный стандарт представляет собой перечень требований в отношении систем управления безопасностью, сетевой инфраструктуры, политик, процедур, разработки программного обеспечения и других мер защиты данных владельцев банковских карт. Требования, определенные в стандарте, предназначены для выполнения в первую очередь финансовыми учреждениями, торговыми фирмами и поставщиками услуг, которые хранят, передают или обрабатывают данные владельцев карт в ходе повседневной деятельности. При этом каждая платежная система по-прежнему несет ответственность за внедрение собственных стандартизованных программ в данной области.

Основными объектами применения стандарта PCI DSS являются:

  • сетевая инфраструктура;
  • средства физической безопасности;
  • ИТ-инфраструктура;
  • прикладное программное обеспечение;
  • внутренние политики и процедуры.

СЕРТИФИКАЦИЯ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ

Несмотря на то что стандарт предъявляет ко всем структурам, работающим с международными платежными системами, весьма высокие требования и необходимость расходов, преимущества участников индустрии от обеспечения соответствия PCI DSS неоспоримы. Какой эффект дает успешная сертификация на соответствие требованиям стандарта PCI DSS? Для бизнеса в целом это:

  • предотвращение санкций со стороны платежных систем;
  • получение международного сертификата в области информационной безопасности, что влияет на улучшение имиджа компании на мировых рынках;
  • предупреждение инцидентов информационной безопасности и, как результат, уменьшение возможных потерь для бизнеса;
  • повышение уровня лояльности и доверия клиентов к компании;
  • улучшение имиджа компании как на локальном, так и на международном уровне;
  • повышение "прозрачности" информационной системы компании для менеджмента, и как результат повышается управляемость информационной безопасностью компании;
  • повышение эффективности работы сотрудников компании;
  • изменение корпоративной культуры в направлении осознания вопросов информационной безопасности, в частности в работе с персональной информацией держателей платежных карт;
  • повышение общего уровня защищенности данных, которыми оперирует компания;
  • снижение угрозы для бизнес-процессов компании;
  • получение компанией нового конкурентного преимущества, демонстрация не только своей компетенции в области информационной безопасности, но и того, что компания обеспокоена защищенностью данных своих клиентов.

Для подразделений информационных технологий это:

  • получение международного сертификата в области информационной безопасности как подтверждение компетенции и уровня информационной безопасности компании;
  • повышение уровня надежности и управляемости процессов информационной безопасности;
  • получение дополнительных инструментов для управления, контроля, мониторинга информационных систем компании;
  • снижение возможных рисков безопасности, связанных с персональной информацией держателей платежных карт;
  • устранение уязвимостей информационной системы компании;
  • повышение прозрачности всех процессов систем информационной безопасности компании;
  • получение комплексного плана (портфеля проектов) устранения уязвимостей и снижения информационных рисков; повышение осведомленности персонала компании в вопросах информационной безопасности, что является обязательным условием внедрения эффективных политик информационной безопасности в компании;
  • повышение уровня защищенности информации в процессе ее обработки и распространения;
  • регламентация доступа сотрудников компании к информации о держателях платежных карт;
  • эффективное управление персоналом ИТ-подразделений, улучшение взаимодействия со специалистами службы информационной безопасности.

Для заказчиков/пользователей ИТ-услуг это:

  • операции с персональной информацией держателей платежных карт становятся более защищенными;
  • существенно повышается защищенность хранения персональной информации держателей платежных карт;
  • резко снижаются риски дискредитации персональной информации держателей платежных карт;
  • повышается общий уровень эффективности и надежности всей системы информационной безопасности компании.

Таким образом, прохождение комплекса этапов на соответствие требованиям стандарта PCI DSS позволит компании получить следующие выгоды:

  • повышение доверия со стороны клиентов, партнеров, контракторов, владельцев бизнеса;
  • получение сертификата, как гарантии международного признания; прозрачность и чистота бизнеса перед клиентами, партнерами и законом;
  • снижение риска компрометации чувствительной информации.

УСЛУГИ ПО СЕРТИФИКАЦИИ В МИРЕ И СНГ

Какие результаты достигнуты на данный момент, насколько активно и успешно проходят банки сертификацию на соответствие PCI DSS?

Начнем с того, что в разных регионах ситуация может сильно различаться. Так, например, в США этот процесс ускорился в связи с угрозой крупных штрафов и судебных санкций, которые применяются в случае компрометации данных держателей карт. В Европе, где соответствующие аспекты законодательства еще не столь развиты, прогресс идет медленнее. При этом в настоящее время в странах Европейского союза члены международных платежных систем выполняют ревизии своих систем с целью приведения их в соответствие с PCI DSS на добровольной основе. Однако в будущем, вероятнее всего, им придется действовать уже не только по своей инициативе, но и под влиянием мер принудительного характера. В регионе СНГ значительное количество банков, включая российские кредитные учреждения, уже заключило соглашения с организацией Qualified Security Assessors (QSA), и сегодня они постепенно продвигаются в направлении соответствия стандарту.

Согласно требованиям международных платежных систем, все компании и организации, которые передают, обрабатывают или хранят конфиденциальные данные держателей карт, должны пройти аудит на соответствие PCI DSS. Очевидно, что такой аудит может быть выполнен только компанией, сертифицированной платежными системами на подобную деятельность. Примером такой компании является Sysnet, работающая на рынке информационной безопасности с 1989 г. и обладающая статусом PCI Qualified Security Assessor с 2005 г., то есть с самого начала его действия. В настоящее время Sysnet является ведущим партнером для банков на рынке Украины и стремительно распространяет свою деятельность на другие страны региона СНГ.

Мы поставляем эффективные кастомизированные решения, разработанные с учетом конкретных задач, стоящих перед нашими клиентами. Заказчики получают профессиональную объективную консультационную и сервисную поддержку, которая позволяет им достигнуть соответствия стандарту PCI DSS. В отличие от компаний-конкурентов, у Sysnet есть сертификат на оказание услуг аккредитации на соответствие международному стандарту ISO 27001. Как независимый поставщик услуг, мы не связаны с какими-либо конкретными вендорами или иными заинтересованными структурами. Если будет выявлена проблемная область в политике безопасности того или иного заказчика, то мы сможем беспристрастно искать наиболее эффективное решение проблемы.

Большинство банков уже начали, по меньшей мере, обращаться к QSA за помощью в достижении соответствия стандарту. Но и для тех, кто этого пока не сделал, еще не слишком поздно приступить к реализации такого рода инициатив. В зависимости от уже имеющегося практического уровня соответствия PCI DSS, подготовка к аудиту по стандарту займет как минимум три месяца. Однако, если нужны значительные инфраструктурные изменения, то может потребоваться 1-2 года, а то и более длительное время. Как показывает практика, чем крупнее и чем "старше" организация, тем больше ей требуется времени для осуществления необходимых изменений в целях обеспечения соответствия стандарту.

Так, если говорить о банках-эквайерах, то они должны не только обеспечить свое собственное соответствие PCI DSS, но также несут дополнительную ответственность за обеспечение работы в этом направлении своих мерчантов в соответствии с требованием платежных систем. В порядке осуществления части данного процесса кредитно-финансовые учреждения должны сообщать платежным системам о статусе своих мерчантов в том формате, которого требует каждая из них. Поскольку количество мерчантов велико, многим банкам будет достаточно сложно руководить программой, которая предусматривает достижение их мерчантами реальных успехов в этом направлении.

По этой причине компания Sysnet разработала решение Securus, основанное на комплексных услугах управления докладами мерчантов. Это чрезвычайно гибкое решение, разработанное для удовлетворения специфических потребностей каждого банка и эквайера, от полного аутсорсинга управления процессом подготовки мерчантов к соответствию стандарту до оказания помощи, как часть внутренней команды PCI DSS.

Интернет-портал Securus предоставляет мерчантам информационную поддержку и другую помощь, необходимую для завершения процесса обеспечения соответствия стандарту PCI DSS. В свою очередь, банку-эквайеру Securus предоставляет различные возможности для мониторинга, анализа рисков и обеспечения отчетности. Используя данный портал, мерчанты должны заполнить предложенную web-форму, ответив на перечень конкретных вопросов, на основании которой они смогут определить, требуется ли им дальнейшая оценка их готовности к аудиту по PCI DSS или некие корректирующие действия. Прогресс каждого конкретного мерчанта в данном направлении постоянно отслеживается, и сообщения о результатах поступают в банк-эквайер в режиме реального времени. Хотя компания Sysnet управляет этой системой централизованно, данное решение можно адаптировать под требования конкретного банка. Решение Securus обеспечивает существенную помощь банкам-эквайерам, которым приходится помогать тысячами своих мерчантов обеспечивать их соответствие стандарту.

— Вивиан Дафф, региональный директор
по развитию бизнеса компании Sysnet.
— Алексей Гребенюк, старший консультант
по информационной безопасности компании Sysnet

19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".

    Яндекс цитирования