Собрание PCI SSC European Community Meeting 2010

Сергей Шустиков - руководитель направления менеджмента ИБ компании Digital Security, CISA, PCI QSA

С 18 по 20 октября в Барселоне прошло собрание PCI SSC European Community Meeting 2010. Это событие явилось европейской частью общего собрания представителей индустрии платежных карт 2010 года. Европейская и американская части вместе собрали полторы тысячи представителей шестисот заинтересованных организаций.

We need your feedback!

«More feedback we get — higher level of maturity standards achieve!» — этими словами открыл основную сессию европейский директор Совета PCI SSC Джереми Кинг (Jeremy King). Действительно, обсуждение предложений и пожеланий представителей индустрии платежных карт — торгово-сервисных предприятий, поставщиков услуг, эквайеров, эмитентов, международных платежных систем, QSA-аудиторов, системных интеграторов заняло большую часть мероприятия. Совет удлиняет на год цикл модернизации стандартов, его период отныне равен трём годам. По словам руководителей Совета PCI SSC, это сделано в том числе с целью получения большего количества отзывов от сообщества и более тщательного их анализа.

Версия 2.0

В рамках собрания состоялась отдельная сессия, на которую были приглашены только QSA-аудиторы и представители ASV-компаний. В ходе этой сессии рабочая группа, состоящая из высокопоставленных представителей каждой из пяти международных платежных систем — участниц Совета PCI SSC, а также непосредственных авторов текста стандартов, представила аудиторам обзор изменений, вошедших в версии 2.0 документов PCI DSS и PA-DSS. Радикальными эти изменения назвать трудно, в основном что-то поправили, что-то уточнили, что-то перегруппировали. Не будем надолго останавливаться на этом моменте, тем более, что подробный анализ изменений стандарта PCI DSS я уже приводил в статье Обзор изменений версии 2.0 стандарта PCI DSS. Здесь важнее другое — стандарт действительно живёт, колесо Деминга действительно вращается, и движущей силой этого вращения является та самая энергия прибоя, несущего артефакты идей.

Насущное

Кроме желанной Советом обратной связи у собравшихся представителей сообщества были свои вопросы к регулятору и международным платежным системам. Не был исключением и ваш покорный слуга, прибывший на мероприятие с блокнотом, исписанным вдоль и поперек.

Первый вопрос, который я задал непосредственно Бобу Руссо (Bob Russo), был о том, когда же наконец появится официальная версия стандарта PCI DSS на русском языке, тем более, что как раз перед этим обеспечение интернациональности стандартов было объявлено с трибуны одним из приоритетов стратегического развития. Боб Руссо выразил свою благодарность русскоязычному сообществу за поддержку, высоко оценил нашу с вами деятельность по переводу стандарта, и заявил, что Совет ведет работы по подготовке текста стандарта на русском языке. Он также пояснил, что, несмотря на наличие готовых переводов, Совет может признать аутентичной только ту версию, которая будет рождена в его недрах по его инициативе и будет верифицирована его специалистами. Что ж, позиция понятная, имеет право на существование, будем ждать.

Следующий вопрос был адресован по очереди представителям MasterCard и Visa — Майклу Грину (Michael Green) и Шейну Болфе (Shane Balfe) соответственно. Вопрос касался планов этих международных платежных систем относительно внедрения стандарта на территории России. Майкл Грин, представляя MasterCard, отметил, что их планы относительно нашего региона не изменились, крайние сроки уже давно вышли, и теоретически за несоответствие MasterCard уже сейчас может оштрафовать любого. Не происходит этого пока только потому что руки не дошли, они пока разбираются с США и Европой, но вот уже скоро, скоро... Позиция Visa интересовала особо, в свете переноса на год вперед крайнего срока полного достижения соответствия для своих принципиальных членов. Шейн Болфе заявил, что перенос крайнего срока ни в коем случае не стоит рассматривать как ослабление требований Visa. Не смотря на переносы, региональные подразделения этой платежной системы продолжают выполнять программу по внедрению стандарта. В частности для России есть подразделение Visa CEMEA, которое ответственно за скорейшее повышение общего уровня безопасности карточных транзакций в регионе. В этом свете перенос срока можно рассматривать скорее как некоторый шаг навстречу сообществу в надежде, что к следующему году количество сертифицированных по стандарту PCI DSS компаний в России будет всё же больше, чем порядка полутора десятков, имеющихся на текущий момент.

Попутно представителям двух международных платежных систем был задан вопрос относительно требований соответствия к эмитентам, вызывавший одно время в российском сообществе достаточно оживленные дискуссии. Так вот, позиция MasterCard следующая: эта платежная система не требует от своих членов отчета о соответствии эмиссионной инфраструктуры, однако приветствует и поддерживает взаимодействие эмитентов с QSA-специалистами по вопросам выполнения требований PCI DSS в рамках эмиссии. В свою очередь Visa отметила, что по своему усмотрению может потребовать от отдельных членов VisaNet сертификации эмиссионной площадки с привлечением QSA-аудитора, в этом случае область аудита, описываемая в Отчете о Соответствии, должна включать в себя инфраструктуру эмиссии. О подобной необходимости Visa сообщит организации самостоятельно.

Перспективы развития

Организаторы мероприятия посвятили значительную долю выступлений результатам деятельности рабочих групп по изучению технологий, ранее не затронутых стандартом PCI DSS. К таким относятся виртуализация, токенизация, а также технологии EMV и сквозного шифрования по принципу End-to-End. Взгляды регулятора на то, как эти механизмы влияют на безопасность транзакций и как соотносятся с другими требованиями стандарта, отчасти уже опубликованы на сайте Совета. Некоторые связанные с ними поправки вошли в новые версии стандартов, например, требование «один сервер — одна функция» теперь учитывает особенности виртуализации и позволяет серверу быть как реальным, так и виртуальным. Рабочие группы продолжают свою деятельность и вскоре мы увидим новые информационные документы.

Что касается EMV и сквозного шифрования, то позиция Совета PCI SSC заключается в том, что как бы глубоко эти технологии ни проникали в индустрию платежных карт, всё равно они не отменят необходимости комплексного обеспечения безопасности данных о держателях карт. Мысль о том, что ни одно отдельно взятое решение панацеей не является, в целом довольно очевидна. Данные о держателях карт всё равно будут обрабатываться в информационных системах организаций и их конфиденциальность надо будет защищать, равно как и целостность и доступность.

Послесловие

Впечатления от мероприятия, целью которого является совершенствование нормативной базы деятельности по защите данных о держателях карт, остались безусловно положительные. Радует то, что за идеями по модернизации стандартов регулятор в открытой форме обращается к сообществу, к тем, кто ежедневно испытывает на себе действие его требований и способен дать максимально актуальные отзывы.

Изменения, которым подвергается стандарт в каждом цикле своего развития, не могут не радовать. Однако, если говорить про ожидания, то безусловно хотелось бы, чтобы стандарт PCI DSS наконец отошел от принципа контрольной карты и перешел к риск-ориентированному подходу в выборе мер защиты. До тех пор у участников индустрии будут продолжать возникать вопросы «а почему перечень мер именно такой?», «почему он один для всех?», «почему бы не включить в него еще и вот это?». Эти голоса звучали в Барселоне очень отчетливо.