Что на самом деле означает соответствие PCI

Что на самом деле означает соответствие PCI

Я очень огорчаюсь, когда слышу от людей вещи, которые звучат вполне разумно, но при этом являются в корне неверными. На twitter.com и различных блогах по этой теме появилась дискуссия о том, что «соответствие PCI бесполезно, если компания, которая ему соответствует, была взломана». Видите, так правдоподобно и при этом так неправильно.

Исключения из правил

Мне кажется, что проблема этого утверждения в том, что произошедшее единожды может и не стать правилом. Говорить о том, что вся программа PCI неэффективна только потому, что одна компания была взломана, нелогично. Рассмотрим на примере ремней безопасности. В 1956 году Роберт Макнамара обязал всех использовать ремни безопасности в машинах с целью уменьшить количество смертей в автомобильных авариях. Большинство согласно с тем, что ремни безопасности спасают жизни и ими хорошо бы пользоваться. Ведь теперь, когда кто-то погибает в автомобильной аварии, даже будучи пристегнутым, мы же не заявляем, что ремни безопасности бесполезны. Я имею в виду, что хотя этот пристегнувшийся «кто-то» мертв, это не означает, что все ремни безопасности должны быть бесполезны. Это нелогично. Многие так называемые эксперты в области PCI соответствия и проникновений будут говорить вам об этом, используя эту неправильную логику, просто потому, что они не знакомы со всеми сложностями и надлежащим синтаксисом.

Соответствие и Подтверждение соответствия

Есть различия между «соответствием» и «подтверждением соответствия». Соответствие — состояние, которое необходимо поддерживать. Подтверждение соответствия — проверка состояния на определенный момент времени. Примером может служить страхование автомобилей. Я должен все время страховать свою машину согласно требованиям законодательства. При постановке на учет мне приходится представить документы, удостоверяющие то, что моя машина застрахована. Этим я подтверждаю то, что мои действия соответствуют законодательству. Если я решу прервать договор страхования, потому что это стоит слишком дорого, мои действия будут соответствовать законодательству? Нет. Хотя подтверждение соответствия на месте. Помните, подтверждение соответствия одномоментно, в то время как соответствие непрерывно.

Соответствие и Безопасность

Следует также отметить, что соответствие, даже продолжительное состояние соответствия, не означает безопасность, если оно не реализовано правильно. Если целью компании является проведение аудита для «галочки» и для достижения этой цели она ограничивается необходимым минимумом действий, вряд ли это означает надлежащее управление рисками и защиту данных о держателях платежных карт. Позвольте объяснить — я часто спрашиваю людей: «Можно ли использовать брандмауэр для сегментирования сети?». Все говорят: «ДА», — но они ошибаются. Только правильно настроенный брандмауэр можно использовать для сегментирования сети. Поэтому при проверке пункта, определяющего, что какой-либо объект выходит за границы проведения аудита, потому что сеть была сегментирована, нужно не забыть про вопрос: должным ли образом она была сегментирована?

Действительно ли вы выделили известные векторы атак?

Дополнительно можно привести в пример мотоциклетные шлемы. Не во всех штатах принят закон, обязывающий мотоциклистов ездить в мотоциклетных шлемах, а в некоторых разрешено использование его облегченной версии, которая только создает иллюзию соблюдения закона. Но почти все мотоциклисты согласятся, что такой шлем не дает никакой реальной защиты. Однажды специалист по безопасности сказал мне: «Мне нужен минимум, потому что я не получаю золотых звезд за слишком рьяное соответствие». Я помню это утверждение, потому что в тот момент я понял, что он не понимает разницы между соответствием и безопасностью.

Барак Обама сказал, что мы должны войти в «новую эру ответственности». Мы должны нести ответственность за защиту данных. Необходимо сфокусироваться на управлении рисками и начать заботиться о безопасности данных, вверенных нам нашими клиентами.