10 сентября 2010 года состоялось торжественное вручение сертификата соответствия специалистам компании MOBI.Деньги, по праву заслужившим столь высокую оценку своей работы по обеспечению безопасности обрабатываемых данных о держателях карт. В течение восьми месяцев компания прошла путь от предварительной оценки соответствия платежных систем компании требованиям PCI DSS до успешного прохождения сертификационного аудита.

В ходе выполнения работ осуществлялась консультационная поддержка проекта специалистами Digital Security, начавшаяся с разработки рекомендаций по повышению защищенности платежной инфраструктуры и продолжавшаяся до полной готовности компании к сертификации.

Добросовестное выполнение запланированных мероприятий позволило компании MOBI.Деньги с успехом пройти необходимые испытания на прочность — тест на проникновение, внешнее сканирование и, конечно же, сертификационный аудит на соответствие PCI DSS.

На фото слева направо: начальник отдела системного администрирования MOBI.Деньги Александр Львов, ведущий аналитик по ИБ Digital Security Евгений Безгодов, руководитель направления менеджмента ИБ Digital Security Сергей Шустиков, инженер ИБ MOBI.Деньги Артём Алфимцов, руководитель СТК MOBI.Деньги Иван Паднюк, руководитель проектов MOBI.Деньги Екатерина Кошкарова.

«Этот проект поставил перед всеми его участниками много нетривиальных задач, поскольку творческий подход специалистов MOBI.Деньги породил во многом уникальный для России платежный технологический комплекс. При этом все стоявшие перед участниками проекта задачи были успешно решены. Это позволяет нам с уверенностью говорить о том, что на выходе мы получили хорошо защищенную информационную инфраструктуру», сказал Сергей Шустиков, руководитель направления менеджмента информационной безопасности Digital Security.

«Сотрудники компании MOBI.Деньги показали себя слаженной командой настоящих профессионалов, оперативно и качественно выполняющей самые сложные задачи. Мы желаем им сохранять достигнутый уровень качества командной работы при выполнении всех процессов защиты данных о держателях карт, чтобы с готовностью подходить к ежегодному подтверждению своего статуса соответствия PCI DSS», подчеркнул Евгений Безгодов, ведущий аналитик по информационной безопасности Digital Security.

Илья Медведовский, директор Digital Security, особо отметил: «Успешным завершением очередного проекта по подготовке и сертификации по стандарту PCI DSS наша компания подтвердила свой статус одного из лидеров уже сформировавшегося в СНГ рынка аудита и консалтинга по стандартам PCI и PA-DSS. Качество наших работ является основой безопасности бизнеса наших клиентов в такой критичной сфере, как обработка карточных транзакций. При подготовке к сертификации и последующем аудите платежных систем или приложений заказчиков нашей основная задачей является поиск индивидуального подхода к каждому из них для оптимального выполнения всех требований стандартов Совета PCI SSC».

Подводя итоги, Екатерина Кошкарова, руководитель проекта по сертификации компании MOBI.Деньги, сказала: «По результатам предварительной оценки соответствия требованиям PCI DSS уже существующей инфраструктуры и бизнес-процессов компании, проведенной экспертами Digital Security, было принято решение о масштабной реорганизации платежной инфраструктуры с целью создания области с четкими границами действия требований стандарта PCI DSS. В рамках данной области была создана новая сетевая инфраструктура, в которой был развернут новый процессинговый центр, разработанный с учетом требований стандарта и комментариев экспертов Digital Security, кроме того были пересмотрены и созданы новые процессы, обеспечивающие как основную деятельность компании, так и информационную безопасность. В результате выполнения проекта мы приобрели новые знания и опыт в сфере построения защищенных систем и бизнес-процессов компании. Не смотря на достигнутые результаты, мы не намерены останавливаться, и в дальнейшем будем развивать и совершенствовать уровень защищенности информационной инфраструктуры компании МОБИ.Деньги. Хотим выразить благодарность специалистам Digital Security за помощь в успешной подготовке и реализации нашего проекта».

Компания MOBI.Деньги работает в сфере электронных платежей и мобильной коммерции на территории РФ и предлагает широкий спектр сервисов для оплаты товаров и услуг, а также осуществления денежных переводов. Проект MOBI.Деньги начал свое существование в 2003 году в рамках группы компаний PayCash, которая обладает более чем десятилетним опытом развития платежных технологий. Среди наиболее известных её партнёров — ЗАО «Вымпелком», ОАО КБ «Юнистрим», ОАО «Банк «Таврический», ЗАО «Скайлинк», Яндекс.Деньги, iFree, Монета Экспресс (США) и другие. ЗАО «MOBI.Деньги» является правообладателем интеллектуальной собственности PayCash. На сегодняшний день в перечне партнеров компании представлены более 1000 организаций, предоставляющих услуги мобильной коммерции конечному потребителю.

Компания PayOnline System в этом году повторно подтвердила свой статус соответствия требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS). В качестве партнера по проведению сертификационного аудита была выбрана компания Digital Security, обладающая статусом QSA (Qualified Security Assessor) и богатым опытом проведения подобных работ.

Успешно пройдя все этапы сертификационной проверки, аудит завершился выдачей сертификата соответствия от Digital Security и отправкой аудиторских заключений в международные платежные системы Visa и MasterCard.

«В компании PayOnline System налажены процессы обеспечения информационной безопасности, поддерживающие высокий уровень защищенности данных о держателях платежных карт. Результат, который продемонстрировали профессионалы PayOnline System, мы отмечаем выдачей Сертификата об успешно пройденном аудите», заявил Сергей Шустиков, руководитель направления менеджмента информационной безопасности компании Digital Security.

«Мы регулярно прилагаем немало усилий, для того что бы соответствовать стандартам PCI DSS, и считаем прохождение сертификации закономерным результатом. Данный сертификат подтверждает высокий уровень безопасности работы с данными плательщиков. Отдельно хотелось бы отметить высокий профессионализм сотрудников Digital Security, которые проводили аудит нашей компании. Аудит прошел в кратчайшие сроки и не прерывал существующие бизнес-процессы, специалисты изучили наши методы обработки информации, уровни и контроль доступа и пришли к выводу, что существующая модель работы соответствует требованиям безопасности PCI DSS», — комментирует генеральный директор компании PayOnline System Марат Абасалиев.

О компании PayOnline System

Компания PayOnline System — один из самых современных и динамично развивающихся платежных сервис-провайдеров в России. Процессинговый центр сертифицирован и аккредитован в Visa и MasterCard. PayOnline System предоставляет услуги интернет-эквайринга на территории РФ, в странах Евросоюза и Азии. Компания сотрудничает с крупнейшими банками России и Европы. Процессинг осуществляется на собственных решениях, которые долгие годы успешно функционируют в США, Европе, а теперь и в России. В 2009 г. скоринговая система мониторинга и борьбы с мошенническими операциями победила в конкурсе инновационных проектов в научно-технической сфере, проводимом при участии компании Microsoft.

Компания Uniteller успешно прошла все этапы по приведению своей информационной системы в соответствие требованиям стандарта безопасности данных индустрии платежных карт PCI DSS.

В рамках проекта были реализованы следующие этапы:

Результатом совместной работы Digital Security и Uniteller стала подготовленная и сертифицированная по стандарту PCI DSS информационная инфраструктура.

«Мы рады тому, что компания Uniteller выбрала нас в качестве своего консультанта и аудитора. Совместными усилиями наших аудиторов и специалистов Uniteller была проведена работа по подготовке и сертификации инфраструктуры компании по стандарту PCI DSS. На данный момент компания Uniteller является одной из немногих в России, кто получил сертификат соответствия, что говорит о большом внимании ее сотрудников к обеспечению безопасности предлагаемых решений», — отметил Илья Медведовский, директор компании Digital Security.

Руководитель направления аудита ИБ компании Digital Security, QSA-аудитор, Александр Поляков отметил: «В этом проекте было задействовано множество наших сотрудников на разных этапах его реализации. Мне как руководителю проекта по сертификационному аудиту было приятно получить на выходе не только систему, соответствующую требованиям стандарта PCI DSS, но и систему, действительно защищенную и построенную высококвалифицированными специалистами компании Uniteller в соответствии с нашими рекомендациями».

Генеральный директор компании Uniteller, Алексей Богаткин отметил: «Профессионализм и опыт сотрудников компании Digital Security позволил в кратчайшие сроки пройти все этапы сертификации по стандарту PCI DSS. Аудит по PCI DSS — ответственный этап для любой компании, работающей на карточном рынке. Мы уверены, что сертификат предоставит нашим клиентам и партнерам еще одно доказательство надежности Uniteller как сервис-провайдера. Мы намерены продолжить активное сотрудничество с компанией Digital Security, в том числе и по аудиту на соответствие стандарту PA-DSS платежных решений Uniteller для сферы самообслуживания, широко известных на рынке».

Компания Uniteller — сервис-провайдер, осуществляющий процессинг платежных карт международных платежных систем VISA International, MasterCard Worldwide, JCB International и Diners Club International в системах самообслуживания и в среде Интернет. Более подробная информация о деятельности компании доступна по адресу: http://www.uniteller.ru.

Можно ли говорить о том, что приложения электронной коммерции с открытым исходным кодом, такие как Magento Community, VirtueMart, Ubercart, Zen Cart и другие, еще долго не смогут пройти PA-DSS сертификацию, поскольку, в силу своих особенностей, они свободно модифицируемы и расширяемы плагинами? Означает ли это то, что приложения должны быть защищены от модификации путем шифрования исходного кода для того, чтобы они удовлетворяли требованиям PA-DSS?

14 основных требований, соблюдаемых при PA-DSS Compliance:

Эти требования делают почти невозможным прохождение сертификации для «opensource» продуктов. К примеру, требование  — разработка безопасных платежных приложений — чаще всего вызывает сложности. Проблема заключается в том, что PA-QSA специалист проверяет всю документацию, общается непосредственно с разработчиками и детально рассматривает (изучает) процесс разработки.

Документация по «opensource» программам, как правило, доступна только в  сети Интернет, и может быть, в лучшем случае, неполной. Обычно акцент делается на установке и основных правилах эксплуатации. Согласно требованиям PA-DSS и PCI DSS, необходима документация о правильной инсталляции программы, чтобы убедиться в том, что процесс соответствует PCI DSS. Документация «opensource» решений может и не включать в себя такую информацию.

Одним из самых больших препятствий для открытого ПО будет необходимость документирования цикла разработки данного ПО (SDLC — System Development Life Cycle). Если документация по эксплуатации может быть неполной, то документации по разработке открытого ПО обычно не существует. В результате получается невозможность соответствия требованию SDLC.

Также существует проблема тестирования ПО и подготовки соответствующей документации. Конечно, разработчики свободного ПО проводят тестирование перед его выпуском, но этот процесс еще должен быть документирован в соответствии со стандартом PA-DSS.

А какая организация будет ручаться за приложение? Большинство «opensource» проектов юридически не существуют, в результате, с технической точки зрения, они не могут быть представлены для PA-DSS сертификации. Кому брать на себя ответственность за такой продукт? Кто будет платить за сертификацию? Ведь большинство таких проектов разрабатывается энтузиастами и, понятно, что никто из них не станет платить тысячи долларов для того, чтобы этот продукт был сертифицирован по стандарту PA-DSS.

Наконец, если предположить, что такой открытый продукт получил сертификат PA-DSS, то как узнать, что он будет нетронутым, не модифицированным другими разработчиками? Это значит, что распространять такой продукт надо безопасным образом. То есть организации необходимо иметь свой пункт для безопасного распространения продукта, а значит, такой софт будет доступен не всем. Конечно, возможно использовать алгоритмы хэширования, чтобы подтвердить немодифицируемость версии, однако «opensource» организации придется инвестировать дополнительные средства в безопасность такой системы распространения.

Сообщение в Twitter от ducomputergeek:

«Мы создали новую ветку продукта, потому что нам прямо сказали, что оригинальная версия не может быть сертифицирована по PA-DSS и кажется, посчитали, что стандарт к нему не применим. Сейчас мы проходим сертификационный процесс. Технические изменения в ПО для соответствия требованиям PA-DSS были минимальны и заняли всего пару недель. 5 месяцев написания необходимой документации и мы вскоре будем проходить проверку».

В заключении следует отметить, что стандарт PA-DSS направлен на коммерческое ПО. Возможно, организации начнут выпускать сертифицированные «opensource» приложения, однако такие программы будут доступны только на платной основе. В качестве примера можно привести концепцию Linux версий компаний Red Hat и Novell.

Источники:

http://pa-dss.blogspot.com/2010/04/pa-dss-and-open-source-applications.html

http://slashdot.org/submission/1227990/PA-DSS-and-Opensource-Applications?from=rss&utm_source=twitterfeed&utm_medium=twitter

http://pciguru.wordpress.com/2010/04/10/open-source-pa-dss-certification/

Digital Security, обладая статусом PCI QSA с 2008 года, проводит аудит и сертификацию компаний, работающих с платежными системами Visa и MasterCard на соответствие PCI DSS на всей территории России, стран СНГ и Балтии. Получение нового статуса позволит Digital Security предоставить заказчикам услуги по сертификации по стандарту PA-DSS платежных приложений, участвующих в обработке карточных транзакций.

Илья Медведовский, директор Digital Security: «Получение статуса PA QSA является еще одним большим шагом в рамках общей стратегии развития нашей компании, который, с одной стороны, еще больше укрепляет позиции Digital Security как одного из лидеров в области PCI DSS в России и странах СНГ, а, с другой стороны, что крайне важно как для нас, так и для наших заказчиков не только из банковской сферы — факт официальной сертификации Советом PCI SSC нашей испытательной лаборатории, входящей в состав исследовательского центра DSecRG. Это является дополнительной гарантией традиционно высокого уровня качества наших услуг в области аудита безопасности бизнес приложений, ERP-систем, систем ДБО — одной из ключевых специализаций нашей компании, занимающей лидирующие позиции в данной области. Факт получения сотрудниками статуса PA QSA является еще одним официальным признанием нашего опыта в сфере анализа защищенности приложений».

В последнее время обсуждения в области безопасности были сосредоточены на теме PCI DSS. Обсуждается все, от практических советов как достигнуть соответствия, до присуждения стандарту статуса дьявольского изобретения («PCI is the devil»). Не обращая внимания на горячие споры, можно отметить, что с помощью PCI DSS множество организаций увидело перспективу обеспечения безопасности там, где ранее об этом не могло быть и речи. При этом совершенно очевидно, что он не делает их «абсолютно защищенными» — это не под силу никакому внешнему документу.

PSI DSS часто критикуют, основываясь на мнении, что главной целью стандарта является прохождение аудита. Для многих будет сюрпризом узнать, что стандарт требует выполнение определенных задач постоянно, а не только перед аудитом. Цель статьи — сосредоточить внимание на конкретных процедурах, которые необходимо осуществлять, для того что бы сохранить соответствие, а не только выполнять ASV-сканирование, проходить ежегодный QSA-аудит, или же заполнять лист самооценки (SAQ).

В действительности, очень немногие эксперты подскажут вам, как сохранить соответствие, а не просто достигнуть его. Последние случаи нарушения безопасности, повлекшие потерю карточных данных в компаниях, однажды получивших статус соответствия PCI DSS, показывают, что сохранить соответствие намного сложнее, чем получить его. Вы не получите преимуществ, которые приносит PCI DSS для вашей безопасности, только лишь от слов «вы успешно прошли сертификацию», произнесенных аудитором в дорогом костюме. Реальное улучшение произойдет только в том случае, если вы будете «делать PCI DSS» и обеспечивать безопасность каждый день (да-да, стандарт включает в себя ежедневные задачи!).

Вопреки описанному выше подходу, ориентированному на получение статуса соответствия, некоторые поставщики услуг безопасности постоянно проповедуют концепцию «непрерывного соответствия». И говорят об этом уже годами. Конечно, «непрерывное соответствие» — это хорошо но, к сожалению, большинство клиентов этих же поставщиков, в ущерб своим собственным интересам, не обеспечивают этого. Они по-прежнему суетятся во время аудита, стремятся угодить аудитору и настроены на то, чтобы как можно быстрее получить статус соответствия. Подводя итог, можно сказать: прежде чем предлагать стратегию непрерывного соответствия, необходимо сначала обучить этому потребителя.

В заключении следует отметить, что достижение стопроцентного соответствия стандарту требует от компаний намного больше затрат и ресурсов, чем необходимо для его поддержания.

Многие будут удивлены, но сам PCI DSS содержит в себе информацию о действиях, которые необходимо выполнять регулярно, их перечень приведен в таблице 1.

Таблица 1. Периодические действия

Что мы можем извлечь полезного из вышеприведенной информации? Мы можем составить список задач, которые необходимо выполнять периодически:

Каждый год:
   • QSA-аудит или заполнение листа самооценки;
   • тест на проникновение;
   • проверка безопасности веб-приложений;
   • пересмотр политики безопасности;
   • обучение персонала;
   • другое.

Каждые 6 месяцев:
   • пересмотр конфигураций межсетевых экранов и маршрутизаторов.

Каждый квартал:
   • выполнение внешнего и внутреннего сканирования сети на наличие уязвимостей.

Каждую неделю:
   • выполнение процедур проверки целостности критичных файлов.

Каждый день:
   • просмотр журналов протоколирования событий;
   • выполнение других ежедневных процедур, предусмотренных политикой безопасности.

Получению статуса соответствия уделяется значительно больше внимания, чем сохранению соответствия, а именно на этом этапе происходит наибольшее количество ошибок, приводящих к нарушению безопасности и потере данных. Если вы принимаете участие в обеспечении соответствия компании требованиям PCI DSS, убедитесь, что сохранению статуса соответствия уделяется не меньше внимания, чем к его достижению.

Об авторе:
Антон Чувакин является известным независимым консультантом по информационной безопасности, автор книг «PCI Compliance», «Security Warrior», соавтор «Know Your Enemy II», «Information Security Management Handbook», «Hackers Challenge 3», «OSSEC HIDS», а также многих публикаций по безопасности. Автор многих докладов по вопросам информационной безопасности на конференциях в США, Великобритании, Сингапуре, Испании, Канаде, Польше, Чехии, России и других стран. Защитил диссертацию на соискание ученой степени Ph. D. в Университете Стони Брук, Нью-Йорк, США.

Источник:
http://www.ethicalhacker.net/content/view/283/2/

На ежегодной встрече QSA-аудиторов Совет PCI SSC объявил об ужесточении требований к процессу проведения сертификационного аудита.

В рамках программы поддержки качества Совет будет выборочно проверять Отчеты о Соответствии, а также сопоставлять представленную в них информацию с собранными в ходе аудита свидетельствами.

Меры, направленные на обеспечение объективности onsite-оценки выполнения требований стандарта, помимо оценки качества Отчетов о Соответствии, включают в себя также оценку деятельности компании-QSA и компетентности QSA-аудиторов.

Целью программы поддержки качества является обеспечение четырех основополагающих принципов деятельности QSA-аудитора: объективности, обоснованности, компетентности и сознательности.

К критичным нарушениям QSA-аудитором процедуры проверки относятся:

• сокрытие аудитором факта хранения критичных аутентификационных данных в инфраструктуре проверяемой организации;

• отсутствие статуса QSA у лица, руководящего процессом аудита на объекте;

• заведомо ложная трактовка аудитором требований стандарта;

• обозначение в Отчете о Соответствии невыполненного требования как выполненного.

В случае обнаружения Советом таких нарушений последует лишение компании-аудитора статуса QSA, а также пересмотр результатов проведенных ею аудитов, вплоть до отзыва выданных ею Сертификатов Соответствия.

Для обеспечения возможности проведения подобных проверок, QSA-аудиторы должны сохранять полученные в ходе аудита свидетельства (схемы, документы, записи интервью, скриншоты и т. п.) не менее трех лет.

Открыто обсудить вопросы, связанные с качеством работы QSA можно здесь.

«Пустая трата денег, прихоть витающих в небесах регуляторов, навязанная неприятная необходимость менять пусть несовершенную, но годами налаженную систему отношений, взглядов и процессов…» - такое мнение не является редкостью.

Поговорим о том, как можно взглянуть через сложившуюся ситуацию в будущее. Обладание видением перспективы – это не дар, а весьма полезный навык, возможность развития которого доступна каждому.

Раз обеспечение безопасности, а значит и вопросы управления соответствием, - это неотъемлемая часть бизнеса, попробуем взглянуть на это дело так: какая выгода для бизнеса в этом вопросе?

Повторять набившие у всех оскомину слова о реальных и потенциальных инцидентах с карточными данными, влекущих прямой материальный ущерб, я не буду в связи с их очевидностью, я бы даже сказал - сверхочивидностью, в какой-то мере девальвировавшей чувство осторожности.

Если мы говорим о неких обязательных требованиях регуляторов, то тут лучше рассуждать не в контексте возврата инвестиций «что будет, если вложусь в это», а в контексте «что будет, если я в это не вложусь». А будет – как минимум гарантированный штраф от международных платежных систем, выставляемый регулярно. К этому стоит отнестись серьезно, так как инвестиции в соответствие по большей части единовременные (не считая ежегодного аудита), а штрафы – регулярные и при этом прогрессивные. В крайнем случае ситуация может развиться вплоть до потери карточного бизнеса.

С так любимыми в сообществе разговорами об «особенностях нашего региона и поблажках для него» рекомендую всё-таки распрощаться, потому что особенности уже были учтены. Visa ввела требование соответствия стандарту в 2006 году, а крайний срок отложила до 2010. Регуляторы сделали очень серьезную поблажку и как бы ни пришлось в скором будущем пожалеть о том, что так долго злоупотребляли их терпением.

Теперь о приятном – достижение соответствия это не только ценный мех… в смысле сертификат соответствия, но в большей степени – это большая работа по повышению защищенности во-первых, и повышению прозрачности и управляемости – во вторых. Иными словами – это выдающаяся возможность навести порядок в том, до чего много лет не доходили руки.

Что же для бизнеса? Для него это, помимо наведения порядка, - обеспечение уверенности в завтрашнем дне, без которой, согласно известной теории Маслоу, сложно реализовать себя в полной мере.

На сайте Совета PCI SSC дано пояснение, достаточно исчерпывающе отвечающее на вопрос о том, какие приложения входят в область сертификации PA-DSS.

Программа сертификации по стандарту PA-DSS выросла из программы Payment Application Best Practices (PABP) международной платежной системы Visa. Целью программы является содействие разработчикам в создании безопасных платежных приложений, адаптированных к соответствию PCI.

Требования стандарта PA-DSS распространяются на платежные приложения, разрабатываемые и продаваемые на рынке для использования третьими сторонами. Самостоятельно разрабатываемые торгово-сервисными предприятиями и поставщиками услуг приложения для внутреннего использования не входят в область сертификации PA-DSS, но при этом всё равно должны выполнять требования стандарта PCI DSS.

То есть, другими словами: разработал приложение для себя – выполни требования PCI DSS и будь спокоен. Разработал приложение и хочешь продавать его другим – изволь сертифицировать его по PA-DSS.

В рамках регулярного пересмотра Стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) Совет PCI SSC внес изменения в текст версии 1.2 указанного документа. Текущей актуальной версией стандарта стала версия 1.2.1, датированная июлем 2009 года.

Обновления текста стандарта незначительны и носят, в основном, «косметический» характер, а именно:

• добавлено удаленное при переходе от версии 1.1 к версии 1.2 предложение: «PCI DSS requirements are applicable if a Primary Account Number (PAN) is stored, processed, or transmitted. If a PAN is not stored, processed, or transmitted, PCI DSS requirements do not apply», страница 5 англоязычного оригинала;

• исправлено слово «then» на «than» в тексте проверочных процедур 6.3.7.a и 6.3.7.b, страница 32 англоязычного оригинала;

• убрано выделение серым цветом строк проверочной процедуры 6.5.b, страница 33 англоязычного оригинала;

• поправлено предложение «Use this worksheet to define compensating controls for any requirement noted as ‘in place’ via compensating controls», в Приложении C, страница 64 англоязычного оригинала.

Русский перевод обновленного стандарта доступен в нашей копилке полезных материалов вместе с англоязычным оригиналом.

В России стало больше на одну компанию со статусом PCI-Compliant.

Digital Security завершила проект по подготовке к сертификации платежного шлюза PayOnline System, окончившийся успешным прохождением этой компанией сертификационного аудита, - сообщается в пресс-релизе.

PayOnline System входит в состав совместной российско-американской компании ITONLINE GROUP, которая специализируется на создании и продвижении крупных онлайн-проектов. PayOnline System – это современная российская система интернет-платежей. Вся информация о деятельности компании доступна на www.payonlinesystem.ru.