Совет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал на своём официальном сайте новые версии стандартов PCI DSS и PA-DSS, обновленные по итогам двухлетнего цикла пересмотра. В этот же момент стартовал следующий, уже трехлетний цикл обновления стандартов, в течение которого любой желающий может направить в Совет свои предложения и пожелания относительно совершенствования стандартов.

Новые версии стандартов вступают в силу с 1 января 2011 года, однако официальный аудит можно будет проходить по предыдущей версии (1.2.1) вплоть до 31 декабря 2011 года.

Изменения, внесенные в стандарт PCI DSS, носят в основном уточняющий характер, все они подробно описаны в статье Обзор изменений версии 2.0 стандарта PCI DSS, опубликованой сегодня на нашем сайте.

Новые версии документов на английском языке вы можете скачать в нашей копилке, русский перевод будет доступен в ближайшее время.

В опубликованных Советом документах приведен перечень изменений, которые разделены на три следующие категории:

– Уточнение – уточняет значение требования и обеспечивает соответствие формулировки, примененной в стандарте, желаемой цели требования;

– Дополнительное разъяснение – предоставляет дополнительную информацию, разъясняющую цель требования;

– Развитие требования – актуализирует требование для того, чтобы стандарты учитывали новые угрозы и изменения, произошедшие на рынке.

Перечень изменений представлен в таблице:

Стандарты PCI DSS и PA-DSS версии 2.0 будут представлены Советом PCI SSC в октябре 2010 года.

Компания PayOnline System в этом году повторно подтвердила свой статус соответствия требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS). В качестве партнера по проведению сертификационного аудита была выбрана компания Digital Security, обладающая статусом QSA (Qualified Security Assessor) и богатым опытом проведения подобных работ.

Успешно пройдя все этапы сертификационной проверки, аудит завершился выдачей сертификата соответствия от Digital Security и отправкой аудиторских заключений в международные платежные системы Visa и MasterCard.

«В компании PayOnline System налажены процессы обеспечения информационной безопасности, поддерживающие высокий уровень защищенности данных о держателях платежных карт. Результат, который продемонстрировали профессионалы PayOnline System, мы отмечаем выдачей Сертификата об успешно пройденном аудите», заявил Сергей Шустиков, руководитель направления менеджмента информационной безопасности компании Digital Security.

«Мы регулярно прилагаем немало усилий, для того что бы соответствовать стандартам PCI DSS, и считаем прохождение сертификации закономерным результатом. Данный сертификат подтверждает высокий уровень безопасности работы с данными плательщиков. Отдельно хотелось бы отметить высокий профессионализм сотрудников Digital Security, которые проводили аудит нашей компании. Аудит прошел в кратчайшие сроки и не прерывал существующие бизнес-процессы, специалисты изучили наши методы обработки информации, уровни и контроль доступа и пришли к выводу, что существующая модель работы соответствует требованиям безопасности PCI DSS», — комментирует генеральный директор компании PayOnline System Марат Абасалиев.

О компании PayOnline System

Компания PayOnline System — один из самых современных и динамично развивающихся платежных сервис-провайдеров в России. Процессинговый центр сертифицирован и аккредитован в Visa и MasterCard. PayOnline System предоставляет услуги интернет-эквайринга на территории РФ, в странах Евросоюза и Азии. Компания сотрудничает с крупнейшими банками России и Европы. Процессинг осуществляется на собственных решениях, которые долгие годы успешно функционируют в США, Европе, а теперь и в России. В 2009 г. скоринговая система мониторинга и борьбы с мошенническими операциями победила в конкурсе инновационных проектов в научно-технической сфере, проводимом при участии компании Microsoft.

Компания Uniteller успешно прошла все этапы по приведению своей информационной системы в соответствие требованиям стандарта безопасности данных индустрии платежных карт PCI DSS.

В рамках проекта были реализованы следующие этапы:

Результатом совместной работы Digital Security и Uniteller стала подготовленная и сертифицированная по стандарту PCI DSS информационная инфраструктура.

«Мы рады тому, что компания Uniteller выбрала нас в качестве своего консультанта и аудитора. Совместными усилиями наших аудиторов и специалистов Uniteller была проведена работа по подготовке и сертификации инфраструктуры компании по стандарту PCI DSS. На данный момент компания Uniteller является одной из немногих в России, кто получил сертификат соответствия, что говорит о большом внимании ее сотрудников к обеспечению безопасности предлагаемых решений», — отметил Илья Медведовский, директор компании Digital Security.

Руководитель направления аудита ИБ компании Digital Security, QSA-аудитор, Александр Поляков отметил: «В этом проекте было задействовано множество наших сотрудников на разных этапах его реализации. Мне как руководителю проекта по сертификационному аудиту было приятно получить на выходе не только систему, соответствующую требованиям стандарта PCI DSS, но и систему, действительно защищенную и построенную высококвалифицированными специалистами компании Uniteller в соответствии с нашими рекомендациями».

Генеральный директор компании Uniteller, Алексей Богаткин отметил: «Профессионализм и опыт сотрудников компании Digital Security позволил в кратчайшие сроки пройти все этапы сертификации по стандарту PCI DSS. Аудит по PCI DSS — ответственный этап для любой компании, работающей на карточном рынке. Мы уверены, что сертификат предоставит нашим клиентам и партнерам еще одно доказательство надежности Uniteller как сервис-провайдера. Мы намерены продолжить активное сотрудничество с компанией Digital Security, в том числе и по аудиту на соответствие стандарту PA-DSS платежных решений Uniteller для сферы самообслуживания, широко известных на рынке».

Компания Uniteller — сервис-провайдер, осуществляющий процессинг платежных карт международных платежных систем VISA International, MasterCard Worldwide, JCB International и Diners Club International в системах самообслуживания и в среде Интернет. Более подробная информация о деятельности компании доступна по адресу: http://www.uniteller.ru.

В связи с резким ростом количества статей и докладов о стандарте PCI DSS и доводах считать его бесполезным, я решил, что следует рассказать о том, почему разрабатывались стандарты PCI.

В 1999 Visa USA начала работать над программой обеспечения безопасности данных о клиенте (Customer Information Security Program, CISP). Первая официальная версия CISP была выпущена летом 2003 года с указанием Visa как можно скорее определить мерчантов, соответствующих требованиям CISP. Первоначальный импульс для CISP был обусловлен увеличением платежей, которые были результатом незаконного использования счетов кредитных карт. Анализ этих платежей выявил, что сотрудники торгово-сервисных предприятий стали все чаще использовать доступ к POS-терминалам и системам обработки учетных данных для получения номеров кредитных карт и их последующего использования в мошеннических целях.

В то время как развитие CISP прогрессировало, Visa USA также стала замечать, что количество случаев компрометации данных на сайтах электронной коммерции (e-Commerce) возросло, а информация о кредитных картах, хранящаяся в базе, утекает к злоумышленнику и используется в мошеннических целях. Причина оказалась в том, что разработчики приложений использовали такую же модель разработки ПО для e-Commerce как и для POS. В результате оказалось, что данные о держателях карт хранились в базах данных в сети Интернет.

По прошествии приблизительно года работы Visa USA, MasterCard International начал разработку стандарта защиты данных веб-сайтов (Site Data Protection standard, SDP). В отличие от CISP, в SDP внимание было сфокусировано на обеспечении безопасности веб-сайтов электронной коммерции. MasterCard следил за быстрыми темпами роста мошенничества, связанного с компрометацией данных на сайтах электронной коммерции, и его анализ, как и анализ Visa USA, выявил, что большинство интернет-сайтов e-Commerce, хранящих данные о держателях карт в БД, были недостаточно хорошо защищены. В результате для решения данной проблемы MasterCard разработал SDP-стандарт, устанавливающий базисный уровень информационной и сетевой безопасности для веб-сайтов электронной коммерции.

Работа над CISP двигалась вперед, были получены дополнительные статистические данные по вопросам безопасности, и Visa USA начала понимать, что именно приложения онлайн платежей являются самой главной проблемой, служащей причиной компрометации данных о держателях карт. Как результат, Visa USA разработала стандарт сертификации платежных приложений (Payment Application Best Practices, PABP), который был опубликован в конце 2004 года и настоятельно рекомендован к использованию производителями программного обеспечения в качестве критерия защищенности их ПО.

Существует мнение, что стандарты PCI были разработаны лишь для того, чтобы минимизировать потери МПС и банков, а для мерчантов не представляют никакой пользы. Однако PCI стандарты были призваны защитить каждое звено в процессе транзакции. Когда происходит нарушение, первое что запоминают люди — это платежный бренд, затем, скорее всего, мерчанта или поставщика услуг, далее франчайзи, если он есть. МПС, поставщики услуг и франчайзеры поняли, что рискуют своей репутацией, не смотря на то, что проблему, в общем-то, зачастую создавали франчайзи мерчанты. Независимо от того, с чьей стороны было произведено нарушение, как правило, бренды международных платежных систем претерпевали самый сильный удар по репутации. Как следствие, МПС пришли к твердому решению защищать свое имя и репутацию.

Недавно также было высказано мнение о том, что стандарт PCI DSS не нужен, потому что рыночные предприятия будут сами решать вопросы безопасности при проведении транзакций. Однако, во-первых, проблема состоит в том, что большинство мерчантов и поставщиков услуг не уверены в том, что они несут ответственность за обеспечение безопасности данных о держателях карт даже после того, как они могли подвергнуться нарушениям. Они считают, что обеспечение безопасности ДДК — проблема международных платежных систем, поскольку МПС генерируют платежные карты. К сожалению, безопасность ДДК не может контролироваться МПС, поэтому мерчанты и поставщики услуг также должны нести ответственность. Во-вторых, проблема заключается в том, что базовых требований безопасности нет. У каждой организации свое мнение на этот счет, и разный взгляд и отношение к угрозам безопасности. В результате в некоторых организациях обеспечивается высокая защита данных о держателях карт (например, в банках), а в других — низкая. Низкая защищенность некоторых звеньев системы ставит под угрозу обеспечение безопасности ДДК во всей системе — в этом заключается проблема такого подхода. Как следствие, в мире, где все взаимосвязано, организации с высоким уровнем безопасности находятся под угрозой, если они являются партнерами тех организаций, в которых этот уровень низкий. Следствием этого явилось признание МПС того, что необходим единый стандарт для обеспечения прочной основы платежной безопасности.

Мы надеемся, что с этой точки зрения можно понять, почему стандарты существуют и используются для обеспечения необходимой безопасности ДДК.

Автор: PCIGuru

Оригинал заметки: http://pciguru.wordpress.com/2010/07/03/why-the-pci-standards-exist/

22 июня Совет PCI SSC объявил о том, что три стандарта безопасности индустрии платежных карт: PCI DSS, PA-DSS и PTS отныне будут проходить трехлетний цикл развития. До сих пор жизненный цикл каждой версии стандарта составлял два года. При этом обновленные версии стандартов PCI DSS и PA-DSS будут представлены в октябре 2010.

Изменения являются результатом постоянного взаимодействия Совета с торгово-сервисными предприятиями, процессинговыми центрами, финансовыми организациями и другими участниками мировой платежной индустрии, которым требуется увеличение сроков, необходимых для стандартизации и установления прочной основы платежной безопасности внутри своих организаций. В рамках расширенного срока заинтересованные организации будут иметь не только больше времени для приведения систем в соответствие требованиям стандарта, но также смогут предоставить свои отзывы на двух предстоящих заседаниях Совета, которые пройдут в течение трехлетнего этапа развития.

Трехлетний цикл поможет обеспечить разработку и внедрение стандартов как части стратегии безопасности, которая позволит повысить безопасность данных платежных карт по всему миру. Планомерное и поэтапное внедрение новых версий стандартов поможет предотвратить ошибки на пути к соответствию в организациях к моменту публикации изменений. Таким образом, увеличение срока не только обеспечит понимание стандарта и его успешное внедрение в организациях, но вместе с тем, позволит Совету получить отзывы о нововведениях и обсудить замечания, а также время на рассмотрение возникающих угроз и новых технологий.

Источник: https://www.pcisecuritystandards.org/pdfs/pr_100622_lifecycle.pdf

Можно ли говорить о том, что приложения электронной коммерции с открытым исходным кодом, такие как Magento Community, VirtueMart, Ubercart, Zen Cart и другие, еще долго не смогут пройти PA-DSS сертификацию, поскольку, в силу своих особенностей, они свободно модифицируемы и расширяемы плагинами? Означает ли это то, что приложения должны быть защищены от модификации путем шифрования исходного кода для того, чтобы они удовлетворяли требованиям PA-DSS?

14 основных требований, соблюдаемых при PA-DSS Compliance:

Эти требования делают почти невозможным прохождение сертификации для «opensource» продуктов. К примеру, требование  — разработка безопасных платежных приложений — чаще всего вызывает сложности. Проблема заключается в том, что PA-QSA специалист проверяет всю документацию, общается непосредственно с разработчиками и детально рассматривает (изучает) процесс разработки.

Документация по «opensource» программам, как правило, доступна только в  сети Интернет, и может быть, в лучшем случае, неполной. Обычно акцент делается на установке и основных правилах эксплуатации. Согласно требованиям PA-DSS и PCI DSS, необходима документация о правильной инсталляции программы, чтобы убедиться в том, что процесс соответствует PCI DSS. Документация «opensource» решений может и не включать в себя такую информацию.

Одним из самых больших препятствий для открытого ПО будет необходимость документирования цикла разработки данного ПО (SDLC — System Development Life Cycle). Если документация по эксплуатации может быть неполной, то документации по разработке открытого ПО обычно не существует. В результате получается невозможность соответствия требованию SDLC.

Также существует проблема тестирования ПО и подготовки соответствующей документации. Конечно, разработчики свободного ПО проводят тестирование перед его выпуском, но этот процесс еще должен быть документирован в соответствии со стандартом PA-DSS.

А какая организация будет ручаться за приложение? Большинство «opensource» проектов юридически не существуют, в результате, с технической точки зрения, они не могут быть представлены для PA-DSS сертификации. Кому брать на себя ответственность за такой продукт? Кто будет платить за сертификацию? Ведь большинство таких проектов разрабатывается энтузиастами и, понятно, что никто из них не станет платить тысячи долларов для того, чтобы этот продукт был сертифицирован по стандарту PA-DSS.

Наконец, если предположить, что такой открытый продукт получил сертификат PA-DSS, то как узнать, что он будет нетронутым, не модифицированным другими разработчиками? Это значит, что распространять такой продукт надо безопасным образом. То есть организации необходимо иметь свой пункт для безопасного распространения продукта, а значит, такой софт будет доступен не всем. Конечно, возможно использовать алгоритмы хэширования, чтобы подтвердить немодифицируемость версии, однако «opensource» организации придется инвестировать дополнительные средства в безопасность такой системы распространения.

Сообщение в Twitter от ducomputergeek:

«Мы создали новую ветку продукта, потому что нам прямо сказали, что оригинальная версия не может быть сертифицирована по PA-DSS и кажется, посчитали, что стандарт к нему не применим. Сейчас мы проходим сертификационный процесс. Технические изменения в ПО для соответствия требованиям PA-DSS были минимальны и заняли всего пару недель. 5 месяцев написания необходимой документации и мы вскоре будем проходить проверку».

В заключении следует отметить, что стандарт PA-DSS направлен на коммерческое ПО. Возможно, организации начнут выпускать сертифицированные «opensource» приложения, однако такие программы будут доступны только на платной основе. В качестве примера можно привести концепцию Linux версий компаний Red Hat и Novell.

Источники:

http://pa-dss.blogspot.com/2010/04/pa-dss-and-open-source-applications.html

http://slashdot.org/submission/1227990/PA-DSS-and-Opensource-Applications?from=rss&utm_source=twitterfeed&utm_medium=twitter

http://pciguru.wordpress.com/2010/04/10/open-source-pa-dss-certification/

В начале года компания Apple представила новую функцию для iPhone — оплата при помощи кредитных карт. Для этого к аппарату через разъем для наушников, подключается дополнительное устройство, которое служит средством считывания данных с кредитной карты. Таким образом, теперь iPhone может служить терминалом обработки карточных данных. Насколько безопасна такая идея Apple?

Платежные операции осуществляются при помощи специального приложения. Однако платежные приложения есть и на Windows Mobile. Существуют специальные решения от VeriFone и других производителей POS-терминалов, некоторые из которых сертифицированы по PABP и/или PA-DSS. Устройства от VeriFone соответствуют требованиям PCI PTS. Но iPhone и другие мобильные телефоны не имеют сертификации и не соответствуют данным требованиям.

Конфиденциальная информация, передающаяся по телекоммуникационным каналам, шифруется с помощью SSL v3 или TLS. При передаче по мобильным каналам и Wi-fi, такая информация не обеспечивается дополнительными методами защиты.

Проблемы безопасности iPhone.

С точки зрения PCI, в продуктах Apple существует несколько критических проблем:

•Удаленная информация не может быть удалена физически. В некоторых случаях удаленные данные остаются на iPhone до 6 месяцев или даже дольше, в зависимости от использования;
•Все что набирается на клавиатуре, сохраняется в лог iPhone;
•При использовании устройства для считывания данных банковских карт, весьма вероятно, что конфиденциальная информация не будет полностью удалена;

Использование iPhone как платформы обработки платежей не очень хорошая идея, пока он не сертифицирован.

Проблема заключается в том, что при разработке подобного рода решений, разработчики не учитывают соблюдение стандартов PCI, что мешает сертифицировать продукт в будущем. Если при разработке не были предприняты меры безопасности, то в дальнейшем расходы на его сертификацию, скорее всего, повысят стоимость продукта, и приобретение его клиентами будет не выгодным.

Оригинал статьи: http://pciguru.wordpress.com/2010/02/10/extremely-mobile-payment-processing

Ссылка на новость: http://earlytechnews.wordpress.com/2010/01/03/credit-card-payment-via-iphone

Совет PCI SSC объявил о проведении веб-семинара, открытого для широкой публики и, в частности для Сообщества PCI, на котором будут обсуждаться обновления, принятые в стандарте PCI DSS за два года жизненного цикла этого стандарта. Веб-семинар состоится 22 и 23 июня в 23:00 и 19:00 по московскому времени.

Согласно анонсу, на веб-семинаре выступит генеральный директор PCI SSC, Боб Руссо, и в течение часа кратко расскажет о последних новостях в области обновления и развития стандарта. После чего мероприятие будет проходить в форме «вопрос-ответ».

К обсуждению планируются следующие вопросы:

При регистрации предоставляется возможность заранее отправить интересующие вопросы на рассмотрение организаторов.

Данный вебинар будет последним мероприятием в преддверии Community Meeting, организуемым PCI SSC, на котором можно будет задать вопросы по предстоящим изменениям в новой версии стандарта, которая выйдет в октябре.

Регистрация для участия 22 июня: http://register.webcastgroup.com/l3/?wid=0800622105248

Регистрация для участия 23 июня: http://register.webcastgroup.com/l3/?wid=0800623105249

Источник: https://www.pcisecuritystandards.org/pdfs/pr_100615_lifecycle.pdf.

16 июня, компания Azox — один из лидеров в области электронной коммерции для продуктов Microsoft Dynamics GP, проводит веб-семинар, целью которого будет обсуждение следующих вопросов:

• обзор требований стандарта PCI DSS;
• почему так важно соответствовать стандартам безопасности;
• какие риски существуют при «non-compliance»;
• и многие другие.

Также будут представлены программные решения компании Azox — Azox Credit Card Extension (CCE), сертифицированные по стандарту PA-DSS, и специалисты компании расскажут, как эти решения помогут Вашей компании добиться соответствия стандарту в необходимый срок до 1-го июля 2010 г.

Все участники вебинара получат бесплатное руководство по соответствию, которое включает в себя 12 требований стандарта PCI DSS и отдельные рекомендации по оценке соответствия корпоративной сети.

Зарегистрироваться для участия можно здесь.

Англоязычный оригинал: http://azoxecommerce.blogspot.com/2010/06/prepare-yourself-for-july-1st-pci.html

В период с 18 по 20 октября состоится европейская сессия международного мероприятия PCI Security Standards Council Community Meeting-Barcelona, проводимого Советом PCI SSC. Сообществу экспертов по безопасности индустрии платежных карт будут представлены обновленные версии стандартов PCI DSS и PA-DSS.

Помимо нововведений, которые коснутся требований стандартов, в рамках конференции между представителями Совета PCI SSC, международных платежных систем, а также QSA и ASV компаний состоятся тематические беседы, в ходе которых будут обсуждаться актуальные вопросы, относящиеся к процедуре аудита, определению области аудита и применимости требований стандартов.

Эксперты Сообщества PCIDSS.RU примут активное участие в данном мероприятии с целью выхода на новый уровень взаимодействия с регуляторами отрасли и получения информации из первых рук.

Все интересующие вас вопросы, которые бы вы хотели задать Совету PCI SSC, представителям международных платежных систем, либо которые, по вашему мнению, требуют обсуждения в широком международном кругу экспертов по безопасности платежной отрасли, вы можете оставить в комментариях к этой заметке, либо прислать нам по адресу info@pcidss.ru. Отобранные нашими экспертами вопросы будут вынесены на обсуждение в рамках планируемого мероприятия.

Для распространения знаний о безопасности индустрии платежных карт подходят любые методы, в том числе и такие, как это произведение искусства. В этом клипе от Совета PCI SSC лично Боб Руссо исполнит нам песню про все 12 требований стандарта PCI DSS, новичкам смотреть обязательно:

Мы только что вступили в новый год, следовательно, пришло время подготовки новой версии стандарта, а Совет PCI SSC уже предпринял некоторые действия в  направлении разработки новой версии стандарта.

Помимо этого Совет PCI приступил к разработке технологий, которые помогут торгово-cервисным предприятиям (ТСП) снизить уровень риска без использования слишком сложных, либо слишком дорогих средств. Суть разработки состоит в том, что поставщики оборудования или аутсорсинговые компании будут поставлять решения, которые позволят уменьшить область оценки PCI на стороне ТСП или даже полностью устранить необходимость соответствия PCI. Данное решение, однако, будет в основном распространяться на магазины и, следовательно, не будет применимо для других типов предприятий, которые в настоящее время подпадают под требования стандарта PCI DSS. Некоторые из предлагаемых на рынке решений не будут устранять риск кражи кредитных карт. Вместо этого возможные риски будут перенесены на сторону разработчика решения или на сервис-провайдера.

Совет PCI лишь недавно начал работу в данном направлении, однако первоначальный анализ привел к появлению ряда новых перспективных технологий, которые будут рассмотрены более детально. К ним относится:

− cквозное шифрование (End-to-end encryption);
− использование образов магнитной полосы (Magnetic stripe imaging);
− массовое использование токенов (Tokenization);
− виртуальные терминалы (Virtual terminals).

Данные технологии были выбраны в связи с их технической надежностью, легкостью внедрения и поддержки, а также из-за снижения объемов дополнительных работ со стороны сервис-провайдера.

От новой версии стандарта, возьмем, например, европейские страны, стоило бы ожидать применения более современных технологий. Во многих странах уже внедрили EMV чип и, таким образом, использование образов магнитной полосы (magnetic stripe imaging) уже не играет такой заметной роли. Сквозное шифрование уже также реализовано в большинстве организаций. С другой стороны, мы видим, что использование токенов становится все более массовым явлением и, хотя сама концепция не нова, мы считаем данное направление весьма перспективным.

Европейские страны от новой версии стандарта хотели бы скорее получить отражения технологий, которые уже широко применяются, нежели технологий, содержащих новаторские решения, которые значительно упрощают жизнь торгово-сервисным предприятиям. Мы надеемся, что это будет шагом, который приведет к изменению требований стандарта исходя из рисков тех европейских компаний, которые вместо магнитной полосы уже используют более передовых технологии на базе EMV-чипа.

Нам же стоит акцентировать внимание на том факте, что Совет PCI SSC еще не принимал каких-либо решений и, что выше описанные проблемы найдут свое отражении в работе Совета, запланированной на текущий год. Что касается уже проделанной работы, а именно были широко рассмотрены новые технологии и вопросы снижения рисков, мы ожидаем, что следующая версия стандарта PCI DSS затронет более современные вопросы, с которыми сейчас сталкиваются многие компании в данной области.

Мы обязательно вернемся к обсуждению этой темы, как только получим свежую информацию о новой версии стандарта.

Павел Гениевский
Секретарь Совета Сообщества ABISS

«Пустая трата денег, прихоть витающих в небесах регуляторов, навязанная неприятная необходимость менять пусть несовершенную, но годами налаженную систему отношений, взглядов и процессов…» - такое мнение не является редкостью.

Поговорим о том, как можно взглянуть через сложившуюся ситуацию в будущее. Обладание видением перспективы – это не дар, а весьма полезный навык, возможность развития которого доступна каждому.

Раз обеспечение безопасности, а значит и вопросы управления соответствием, - это неотъемлемая часть бизнеса, попробуем взглянуть на это дело так: какая выгода для бизнеса в этом вопросе?

Повторять набившие у всех оскомину слова о реальных и потенциальных инцидентах с карточными данными, влекущих прямой материальный ущерб, я не буду в связи с их очевидностью, я бы даже сказал - сверхочивидностью, в какой-то мере девальвировавшей чувство осторожности.

Если мы говорим о неких обязательных требованиях регуляторов, то тут лучше рассуждать не в контексте возврата инвестиций «что будет, если вложусь в это», а в контексте «что будет, если я в это не вложусь». А будет – как минимум гарантированный штраф от международных платежных систем, выставляемый регулярно. К этому стоит отнестись серьезно, так как инвестиции в соответствие по большей части единовременные (не считая ежегодного аудита), а штрафы – регулярные и при этом прогрессивные. В крайнем случае ситуация может развиться вплоть до потери карточного бизнеса.

С так любимыми в сообществе разговорами об «особенностях нашего региона и поблажках для него» рекомендую всё-таки распрощаться, потому что особенности уже были учтены. Visa ввела требование соответствия стандарту в 2006 году, а крайний срок отложила до 2010. Регуляторы сделали очень серьезную поблажку и как бы ни пришлось в скором будущем пожалеть о том, что так долго злоупотребляли их терпением.

Теперь о приятном – достижение соответствия это не только ценный мех… в смысле сертификат соответствия, но в большей степени – это большая работа по повышению защищенности во-первых, и повышению прозрачности и управляемости – во вторых. Иными словами – это выдающаяся возможность навести порядок в том, до чего много лет не доходили руки.

Что же для бизнеса? Для него это, помимо наведения порядка, - обеспечение уверенности в завтрашнем дне, без которой, согласно известной теории Маслоу, сложно реализовать себя в полной мере.

С 29 сентября по 1 октября 2009 года в Москве прошла Международная выставка-конференция Infosecurity Russia 2009, объединившая под сводами Экспоцентра ведущих представителей индустрии информационной безопасности.

В рамках выставки состоялся круглый стол, посвященный вопросам внедрения стандарта PCI DSS в России и странах СНГ. Аудитория круглого стола была представлена широким кругом специалистов по карточной безопасности российского банковского сообщества и поставщиков услуг, для которых тема PCI Compliance является актуальной.

В ходе конференции были заслушаны доклады экспертов по безопасности индустрии платежных карт:

• Илья Медведовский, Digital Security – Основные проблемы внедрения PCI DSS;

• Максим Эмм, Информзащита – Применение компенсационных мер при реализации требований стандарта PCI DSS;

• Сергей Шустиков, Digital Security – Достижение соответствия PCI — best practice;

• Сергей Загарский, БИНБАНК – PCI DSS глазами клиента.

На сайте Совета PCI SSC дано пояснение, достаточно исчерпывающе отвечающее на вопрос о том, какие приложения входят в область сертификации PA-DSS.

Программа сертификации по стандарту PA-DSS выросла из программы Payment Application Best Practices (PABP) международной платежной системы Visa. Целью программы является содействие разработчикам в создании безопасных платежных приложений, адаптированных к соответствию PCI.

Требования стандарта PA-DSS распространяются на платежные приложения, разрабатываемые и продаваемые на рынке для использования третьими сторонами. Самостоятельно разрабатываемые торгово-сервисными предприятиями и поставщиками услуг приложения для внутреннего использования не входят в область сертификации PA-DSS, но при этом всё равно должны выполнять требования стандарта PCI DSS.

То есть, другими словами: разработал приложение для себя – выполни требования PCI DSS и будь спокоен. Разработал приложение и хочешь продавать его другим – изволь сертифицировать его по PA-DSS.

Статья в журнале «Плас»: http://www.plusworld.ru/journal/page163_1242.php после которой я просто не мог не высказаться.

Дело в том, что авторы статьи, являясь скорее всего юристами, не совсем понимают, как таковую, специфику проведения тестов на проникновение. Авторы не учитывают такой крайне важный факт, что в процессе активного аудита или тестов на проникновение аудиторы НЕ ПОЛУЧАЮТ непосредственно доступ к данным. И это наш основной принцип проведения данных работ. Да, действительно аудиторы проникают на сервер (информационную систему, базу данных и т.д.), но при этом они ни в коем случае не изучают непосредственно пользовательские данные, которые хранятся на сервере – они им просто не нужны. При этом служба безопасности может включить на сервере протоколирование действий аудиторов, чтобы была гарантия того, что критичные данные не были прочитаны. В любом случае повторю, что аудитор ни в коем случае не изучает непосредственно данные – они ему не нужны, а кроме того – он просто хочет спать спокойно (даже несмотря на подписанное соглашение о конфиденциальности). Поэтому коллизия, описанная в статье, на практике отсутствует. Не говоря уже о том, что тест на проникновение (как внешний, так и внутренний) является абсолютно обязательным для соответствия PCI DSS и обсуждение вопроса необходимости его проведения в данном контексте представляет собой не более чем академический интерес.

Если же абстрагироваться от PCI DSS, то, например, тест на проникновение интернет-банкинга с использованием двух моделей нарушителя (аноним и пользователь системы) выполняется исключительно в тестовой среде, где нет реальных данных. Ну а реплика в статье о, якобы, нарушении УК вызывает не более чем удивление.

Вывод. "Сложно найти черную кошку в темной комнате... особенно когда ее там нет". И от себя добавлю: "А тем более тогда, когда ты не знаешь, как именно выглядит кошка".

P.S.: данная заметка вызвала оживленную дискуссию на форуме: http://forum.pcidss.ru/index.php?topic=37.0

В рамках регулярного пересмотра Стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) Совет PCI SSC внес изменения в текст версии 1.2 указанного документа. Текущей актуальной версией стандарта стала версия 1.2.1, датированная июлем 2009 года.

Обновления текста стандарта незначительны и носят, в основном, «косметический» характер, а именно:

• добавлено удаленное при переходе от версии 1.1 к версии 1.2 предложение: «PCI DSS requirements are applicable if a Primary Account Number (PAN) is stored, processed, or transmitted. If a PAN is not stored, processed, or transmitted, PCI DSS requirements do not apply», страница 5 англоязычного оригинала;

• исправлено слово «then» на «than» в тексте проверочных процедур 6.3.7.a и 6.3.7.b, страница 32 англоязычного оригинала;

• убрано выделение серым цветом строк проверочной процедуры 6.5.b, страница 33 англоязычного оригинала;

• поправлено предложение «Use this worksheet to define compensating controls for any requirement noted as ‘in place’ via compensating controls», в Приложении C, страница 64 англоязычного оригинала.

Русский перевод обновленного стандарта доступен в нашей копилке полезных материалов вместе с англоязычным оригиналом.