Участники консультативного совета, выбранные более чем шестьюстами организациями-участниками, занимаются разработкой стандартов и помогают организациям-участникам давать обратную связь по улучшениям в стандартах.

Автор Павел Федоров

В глобальном мероприятии, собравшем представителей более 40 стран, приняли участие представители Сообщества профессионалов PCIDSS.RU. Цель поездки заключалась в представлении Совету PCI SSC наших взглядов на дальнейшее развитие стандартов PCI DSS, налаживании взаимодействия с другими участниками индустрии, а также получении ответов на многие животрепещущие вопросы.

Статья Сергея Шустикова, посвященная участию в данном мероприятии, опубликована в нашей библиотеке.

Сообщество PCIDSS.RU приглашает принять участие в VII Международной выставке InfoSecurity Russia 2010.

Даты проведения: c 17 по 19 ноября 2010 года

Место проведения: Москва, КВЦ «Сокольники», павильон 4.

Сообщество PCIDSS.RU выступает партнером VII Международной выставки InfoSecurity Russia 2010.

От лица Сообщества PCIDSS.RU в рамках Деловой программы 18 ноября Илья Медведовский выступит с докладом "Основные тенденции к анализу защищенности банк-клиентов, платежных приложений и систем обработки карточных данных".

Для посещения выставки необходима предварительная регистрация на сайте организатора: http://www.infosecurityrussia.ru/visitors/go.

На конференции компания Digital Security выступила соорганизатором и информационным партнером данного мероприятия. Илья Медведовский, директор Digital Security, провел круглый стол, посвященный основным вопросам соответствия требованиям PCI DSS и PA-DSS, в частности проблемам защиты платежных транзакций.

В рамках конференции обсуждались последние достижения безопасности индустрии платежных карт, а также новейшие технологии в области защиты информации. На конференции были представлены доклады специалистов различных компаний, а также QSA- и PA QSA-аудиторов Digital Security.

Сергей Шустиков, руководитель направления менеджмента ИБ Digital Security, открыл круглый стол, выступив с докладом на тему Основные этапы достижения соответствия PCI DSS. В своем выступлении он рассмотрел оптимальные варианты взаимодействия клиента, QSA-консультанта и системного интегратора при выполнении работ по приведению информационной инфраструктуры в соответствие PCI DSS.

Александр Поляков, руководитель направления аудита ИБ Digital Security и исследовательской лаборатории DSecRG, рассказал о стандарте безопасности платежных приложений PA-DSS, который приобрел особую актуальность в связи с объявлением международными платежными системами крайних сроков полного перехода на использование только сертифицированных по данному стандарту приложений.

Алексей Синцов, ведущий аудитор ИБ Digital Security, представил доклад Основные проблемы безопасности банк-клиентов, который был посвящен фундаментальным уязвимостям систем дистанционного банковского обслуживания и вызвал широкий резонанс в среде специалистов по информационной безопасности.

Илья Медведовский, директор Digital Security:

«Компания Digital Security традиционно принимает участие в конференции „CARDEX & IT SECURITY“. В этом году мы выступили одним из организаторов круглого стола на данном мероприятии, основным лейтмотивом проведения которого стали темы безопасности платежных приложений, карточной безопасности и соответствия стандартам PA-DSS и PCI DSS».

Материалы конференции:

• Сергей Шустиков, Digital Security - Основные этапы процесса достижения соответствия PCI DSS
• Александр Поляков, Digital Security - Безопасность платѐжных приложений, стандарт PA-DSS
• Алексей Синцов, Digital Security - Основные проблемы безопасности систем ДБО
• Александр Бондаренко, LETA IT-Company - PCI DSS - проще чем кажется
• Виталий Беликов, Tieto - Tieto Card Suite Fraud & Dispute Management
• Николай Кодаченко, DataSecurity Technologies - Новый продукт для обеспечения безопасности финансовых транзакций

Digital Security, обладая статусом PCI QSA с 2008 года, проводит аудит и сертификацию компаний, работающих с платежными системами Visa и MasterCard на соответствие PCI DSS на всей территории России, стран СНГ и Балтии. Получение нового статуса позволит Digital Security предоставить заказчикам услуги по сертификации по стандарту PA-DSS платежных приложений, участвующих в обработке карточных транзакций.

Илья Медведовский, директор Digital Security: «Получение статуса PA QSA является еще одним большим шагом в рамках общей стратегии развития нашей компании, который, с одной стороны, еще больше укрепляет позиции Digital Security как одного из лидеров в области PCI DSS в России и странах СНГ, а, с другой стороны, что крайне важно как для нас, так и для наших заказчиков не только из банковской сферы — факт официальной сертификации Советом PCI SSC нашей испытательной лаборатории, входящей в состав исследовательского центра DSecRG. Это является дополнительной гарантией традиционно высокого уровня качества наших услуг в области аудита безопасности бизнес приложений, ERP-систем, систем ДБО — одной из ключевых специализаций нашей компании, занимающей лидирующие позиции в данной области. Факт получения сотрудниками статуса PA QSA является еще одним официальным признанием нашего опыта в сфере анализа защищенности приложений».

Уважаемые участники индустрии платежных карт!

Сообщество PCIDSS.RU приготовило для вас подарок в Новому году. В рамках нашего Интернет-портала мы открываем новый проект «Путь к Соответствию». Пообщавшись с представителями банков, платежных систем, процессинговых центров и торгово-сервисных предприятий, мы поняли, что подготовка информационной инфраструктуры компании к сертификации вызывает большое количество актуальных вопросов. Поэтому помимо площадки для общения и обсуждения актуальных вопросов, мы решили создать базу знаний, которая вместит в себя практический опыт всех идущих по нелегкому пути к Соответствию PCI.

Теперь у каждого требования стандарта PCI DSS будет своя страничка, на которой вы найдете описание требования и цели его внедрения. Вы сможете прочитать об известных вариантах реализации требований и компенсирующих мерах, и кроме того — сможете добавить свои.

Мы ценим знания и опыт всех, кто прилагает свои усилия для того, чтобы термин «платежные технологии» был синонимом слов «надежность» и «безопасность». Мы считаем, что навыки каждого, кто решил поделиться своим опытом со всем сообществом, должны занять достойное место в нашей общей базе знаний. Мы создали механизм, позволяющий каждому добавить в базу знаний своё видение реализации того или иного требования, или применения адекватной компенсирующей меры. Надеемся, что он придется вам по душе.

Мы начали выкладывать требования стандарта с их описаниями на странице сервиса Путь к Соответствию, и вы можете своими глазами видеть, как наполняется наша общая копилка знаний.

Каждый из вас имеет возможность увеличить ценность этого ресурса. В новый год — с новыми сервисами!

С 16 по 20 февраля 2010 г. в Башкортостане пройдет Вторая межбанковская конференция «Информационная безопасность банков», в рамках которой будут рассмотрены вопросы по решению проблем информационной безопасности в банковской сфере, стратегии развития рынка продуктов, решений и услуг в области защиты информации в банковском секторе.

Организаторы конференции — Ассоциация российских банков, совместно с Сообществом пользователей стандартов Банка России ABISS. Официальная поддержка конференции — Банк России, при участии Комитета Государственной Думы РФ по безопасности, ФСБ России, ФСТЭК России, Россвязьнадзор России, МГТУ им. Баумана. Организационная поддержка: «Авангард Центр».

Количество участников: 250 человек. Состав участников: Руководители банков и кредитных организаций, специалисты в области информационной безопасности, риск-менеджеры, специалисты службы внутреннего контроля, внутренних и внешних аудиторов информационных технологий и информационной безопасности, руководители процессинговых центров.

Формат конференции: лекционные занятия по вопросам обеспечения информационной безопасности организации.

Темы лекций:

• Внедрение в кредитных организациях Стандартов Банка России по информационной безопасности.

• Реализация в кредитных организациях требований ФЗ РФ «О персональных данных».

• Вопросы обеспечения безопасности систем дистанционного банковского обслуживания.

• Сравнительный анализ Российских и международных стандартов по информационной безопасности. Вопросы установления соответствия.

Сообщество PCIDSS.RU является одним из медиа-партнеров конференции.

В рамках конференции специалисты компании Digital Security выступят с докладами, посвященными наиболее актуальным вопросам финансового сектора, а также примут участие со стендом.

Более подробная информация — на сайте мероприятия.

16 Ноября 2009 года Совет по стандартам безопасности индустрии платежных карт (PCI SSC), международный орган, осуществляющий управление отраслевыми стандартами, такими как PCI DSS, PTS и PA-DSS, сообщил о начале следующего, третьего этапа жизненного цикла управления стандартами, в котором будут учитываться и анализироваться мнения сотен компаний, для последующего включения этих изменений в новые версии стандартов.

На всем протяжении второго этапа жизненного цикла стандартов PCI различные мнения были собраны от торгово-сервисных предприятий, поставщиков услуг, финансовых организаций, производителей, QSA аудиторов и ASV, и других привлеченных экспертов. Эта информация будет рассмотрена Советом и анализирована Консультационным Советом для определения изменений, которые необходимо внести в стандарт, и разработки соответствующей документации. Консультационный Совет был выбран более чем 500 организациями-участниками PCI SSC, и включает в себя двадцать одну организацию – от Cisco до McDonald’s, которые предоставляют важные сведения для непрерывного улучшения стандартов безопасности Совета.

В 2009 году Собрание Совета проходило в Лас Вегасе, штат Невада и в Праге, Чешская Республика, что позволило Совету получить важную информацию от организаций-участников, а также QSA/ASV. В этом году более чем 700 делегатов присутствовало на собрании, представляя свои личные идеи по модернизации стандарта. Встреча спровоцировала широкую дискуссию и открыла большое количество областей для исследования, включая:

• Создание дополнительных групп по интересам, независимых от Совета

• Разработку руководящих документов о влиянии стандартов PCI на банки-эмитенты

• Учет лучших практик

• Сокращение области применимости PCI DSS

• Продолжение развития программ поддержки качества

• Изучение влияния технологий токенизации, абонентского шифрования, чиповых карт и виртуальных терминалов на стандарты PCI

• Работа над осведомленностью о стандарте PCI среди торгово-сервисных предприятий всех размеров

«Совет получил конкретные и значимые сведения о стандарте PCI от большого количества членов платежной цепочки за последние четыре месяца, которые мы глубоко изучим, для того, чтобы гарантировать максимально возможную эффективность стандартов» - сказал Боб Руссо, главный менеджер Совета PCI SSC - «наш структурированный, но гибкий процесс жизненного цикла, позволяет нам эффективно реагировать на новые задачи безопасности, таким образом, организации и аудиторы имеют необходимые инструменты для своих программ безопасности».

Кроме того, члены Совета встречались с членами различных ассоциаций для получения обратной связи о стандартах от представителей индустрии, включая European Association of Payment Service Providers for Merchants (EPSM), International Air Transport Association (IATA), International Forecourt Standards Forum (IFSF), Merchant Advisory Group (MAG), National Association of ATM ISO’s and Operators (NAAIO), National Association of Convenience Stores (NACS), National Retail Federation (NRF), UK Payments and VendorCom. Ассоциации являются значимыми членами, и регулярные встречи предоставляют сторонам возможность выдвинуть вопросы, проблемы и пожелания напрямую Совету.

Более подробная информация о жизненном цикле PCI DSS доступна на сайте Совета PCI SSC: https://www.pcisecuritystandards.org/pdfs/OS_PCI_Lifecycle.pdf.

Автор Алексей Ендовский

На официальном сайте Совета PCI SSC находится перечень сертифицированных QSA-компаний.

С недавнего времени некоторые имена в этом перечне, в том числе IBM ISS, выделены красным цветом и находятся в статусе «In Remediation». Это означает, что проверка качества проводимого ими аудита выявила нарушения, требующие исправления в течение 90 дней.

Этот факт даёт понять всю серьезность намерений Совета PCI SSC в его стремлении обеспечить качество услуг, предоставляемых сертифицированными им компаниями.

Программа поддержки качества QSA-аудита, о которой мы уже писали ранее, состоит из четырех направлений:

• оценка качества Отчетов о Соответствии (ROC);

• анализ деятельности QSA-компании в области PCI DSS;

• оценка компетентности специалистов QSA-компании;

• проверка наличия признаваемых отраслевых сертификатов.

В случае выявления нарушений в работе QSA, компании дается определенный период времени на их устранение, продолжительность которого зависит от серьезности нарушения.

В случае, если компания QSA вовремя не устранит нарушение, а также в случае критичного нарушения, у компании может быть отозван статус QSA.

В ходе трёхдневного заседания, более 200 специалистов из различных стран мира обсуждали наиболее важные вопросы, связанные с реализацией текущей версии стандартов PCI DSS, знакомились с готовящейся к внедрению программой PIN Transaction Security Program, обсуждали насущные проблемы безопасности в индустрии платёжных карт, обменивались информацией об особенностях применения стандартов в различных регионах и др.

Участие представителя АРЧЕ в данном мероприятии положило начало практической работе российского банковского сообщества в PCI SSC. В ходе рабочих встреч представителя АРЧЕ с руководством PCI SSC были обсуждены и согласованы ближайшие конкретные действия, которые позволят АРЧЕ внести свой вклад в эту деятельность и заявить о себе, как об активном и профессиональном участнике Совета.

Ассоциация Российских членов Европей (АРЧЕ), объединяющая 119 российских кредитных организаций – членов платежной системы MasterCard и являющаяся одним из учредителей Сообщества PCIDSS.RU, вступила в Международный Совет по стандартам безопасности индустрии платежных карт PCI SSC. В качестве участника Совета АРЧЕ будет принимать участие в работе над развитием стандарта безопасности данных PCI DSS и других стандартов индустрии платежных карт.

Вступая в Совет PSI SSC, насчитывающий на сегодняшний день более 500 участников-ведущих международных компаний платежной индустрии, АРЧЕ получит доступ к новейшим стандартам безопасности, а также сможет участвовать в доработке дополнений к стандартам безопасности, выступать с предложениями и рекомендациями по развитию стандартов, вносить свой вклад в реализацию новых проектов.

“PCI SSC помогает всем участникам цепочки платежей надежно защитить конфиденциальные данные своих клиентов“ – заявил Генеральный директор Совета PCI SSC Боб Руссо. “Принимая активное участие в процессах формирования стандартов, АРЧЕ вносит свой вклад в достижении этой важной цели”.

“Вступление в PCI SSC позволит интегрировать участников российской индустрии платежных карт в процессы развития и внедрения передовых стандартов безопасности. Вступление в Совет позволит нам не только своевременно информировать членов Ассоциации о новых стандартах и превентивных мерах безопасности, но и активно участвовать в принятии важных для рынка решений” - сообщил Президент АРЧЕ Андрей Королев.

Подробную информацию о событии можно найти на официальном сайте АРЧЕ (http://www.ap4e.ru/contents/news/news/20090929.shtm)

С 29 сентября по 1 октября 2009 года в Москве прошла Международная выставка-конференция Infosecurity Russia 2009, объединившая под сводами Экспоцентра ведущих представителей индустрии информационной безопасности.

В рамках выставки состоялся круглый стол, посвященный вопросам внедрения стандарта PCI DSS в России и странах СНГ. Аудитория круглого стола была представлена широким кругом специалистов по карточной безопасности российского банковского сообщества и поставщиков услуг, для которых тема PCI Compliance является актуальной.

В ходе конференции были заслушаны доклады экспертов по безопасности индустрии платежных карт:

• Илья Медведовский, Digital Security – Основные проблемы внедрения PCI DSS;

• Максим Эмм, Информзащита – Применение компенсационных мер при реализации требований стандарта PCI DSS;

• Сергей Шустиков, Digital Security – Достижение соответствия PCI — best practice;

• Сергей Загарский, БИНБАНК – PCI DSS глазами клиента.

С 29 сентября по 1 октября 2009 в Москве, в Экспоцентре на Красной Пресне пройдет известная во всем мире специализированная выставка по информационной безопасности, проводимая одним из лидеров мирового выставочного бизнеса английской компанией Reed Exhibitions.

В рамках выставки 30 сентября в 10:30 в 5 зале 7 павильона состоится круглый стол «Актуальные проблемы внедрения PCI DSS». В круглом столе примут участие эксперты компаний БИНБАНК, Digital Security и Информзащита. В ходе круглого стола будут представлены доклады по следующим вопросам:

• основные проблемы соответствия и пути их решения при внедрении PCI DSS;

• применение компенсирующих мер при реализации требований PCI DSS;

• специфика проведения внутренних и внешних тестов на проникновение;

• технические аспекты ASV-сканирования.

С программой выставки-конференции и круглого стола можно ознакомиться здесь. Приглашаем вас!

В рамках регулярного пересмотра Стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) Совет PCI SSC внес изменения в текст версии 1.2 указанного документа. Текущей актуальной версией стандарта стала версия 1.2.1, датированная июлем 2009 года.

Обновления текста стандарта незначительны и носят, в основном, «косметический» характер, а именно:

• добавлено удаленное при переходе от версии 1.1 к версии 1.2 предложение: «PCI DSS requirements are applicable if a Primary Account Number (PAN) is stored, processed, or transmitted. If a PAN is not stored, processed, or transmitted, PCI DSS requirements do not apply», страница 5 англоязычного оригинала;

• исправлено слово «then» на «than» в тексте проверочных процедур 6.3.7.a и 6.3.7.b, страница 32 англоязычного оригинала;

• убрано выделение серым цветом строк проверочной процедуры 6.5.b, страница 33 англоязычного оригинала;

• поправлено предложение «Use this worksheet to define compensating controls for any requirement noted as ‘in place’ via compensating controls», в Приложении C, страница 64 англоязычного оригинала.

Русский перевод обновленного стандарта доступен в нашей копилке полезных материалов вместе с англоязычным оригиналом.

Ассоциация Российских членов Европей (АРЧЕ) и Digital Security подписали Меморандум о взаимодействии в области внедрения стандарта безопасности PCI DSS на рынке платёжной индустрии России и стран СНГ и вступлении АРЧЕ в состав учредителей Сообщества PCIDSS.RU

Целью данного шага является продвижение и внедрение в среде организаций, формирующих индустрию платёжных карт, стандарта PCI DSS, как одного из способов повышения общей безопасности использования банковских карт.

Сообщество PCIDSS.RU - некоммерческая организация, целями которой являются сбор, накопление и обобщение информации о стандарте, обмен опытом между специалистами, внедрение и продвижение стандарта PCI DSS. Вступление в Сообщество осуществляется путем предоставления соответствующей заявки в адрес учредителей и открыто для всех организаций-участников индустрии платежных карт: международных платежных систем, ассоциаций, банков, поставщиков услуг, торгово-сервисных предприятий, производителей решений и систем, консультантов, системных интеграторов, СМИ и информационных веб-сайтов, органов государственной власти, ВУЗов и НИИ.

Илья Медведовский, директор Digital Security:

«Создание Сообщества PCIDSS.RU стало логичным обобщением опыта нашей компании в области PCI DSS. Вступление Ассоциации Российских членов Европей в состав учредителей позволит нам совместными усилиями сделать процессы в сфере платежных карт и PCI DSS Compliance в целом более прозрачными и понятными для всех участников данной отрасли. Мы будем рады видеть в составе членов Сообщества всех представителей индустрии платежных карт. Подобное открытое и всестороннее участие дает возможность говорить о взаимодействии, взаимопонимании и сотрудничестве в решении актуальных вопросов при внедрении PCI DSS».

Андрей Королев, президент Ассоциации Российских членов Европей:

«Координация действий участников рынка в области безопасности индустрии платежных карт является одной из приоритетных задач АРЧЕ. Работа по продвижению стандарта PCI DSS велась нами на протяжении последних двух лет, и Подписание Меморандума является закономерным результатом этой деятельности. Мы рассчитываем, что Сообщество поможет наладить эффективный диалог между Советом PCI SSC, международными платёжными системами, QSA/ASV, банками, поставщиками услуг и торгово-сервисными предприятиями, что будет полезно как для отдельных участников рынка, так и для отрасли в целом».

Ассоциация Российских членов Европей - негосударственная некоммерческая организация, членами которой могут являться российские кредитные организации – члены MasterCard International Incorporated, обладающие лицензией на использование продуктов MasterCard в России. Ассоциация создана с целью координации деловой активности членов АРЧЕ при осуществлении программ по продвижению торговых марок MasterCard на российском рынке банковских карт, создания наиболее благоприятных условий эмиссии, обслуживания, обращения и иного использования платежных продуктов MasterCard, совершенствования деятельности членов Ассоциации в платежной системе, а также защиты прав и законных интересов членов Ассоциации. В настоящее время членами АРЧЕ являются 113 кредитных организаций и компания MasterCard Europe Sprl.

Digital Security - одна из ведущих российских консалтинговых компаний в области управления информационной безопасностью, анализа защищенности информационных систем, оценки соответствия информационных систем требованиям международных стандартов, таких как ISO 27001 и PCI DSS, лидер на рынке специализированных систем автоматизации СУИБ. Сертифицированные специалисты компании имеют большой практический опыт выполнения работ в области PCI DSS. Digital Security обладает единственным в СНГ исследовательским центром DSecRG, пользующимся международным признанием.