В глобальном мероприятии, собравшем представителей более 40 стран, приняли участие представители Сообщества профессионалов PCIDSS.RU. Цель поездки заключалась в представлении Совету PCI SSC наших взглядов на дальнейшее развитие стандартов PCI DSS, налаживании взаимодействия с другими участниками индустрии, а также получении ответов на многие животрепещущие вопросы.

Статья Сергея Шустикова, посвященная участию в данном мероприятии, опубликована в нашей библиотеке.

Совет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал на своём официальном сайте новые версии стандартов PCI DSS и PA-DSS, обновленные по итогам двухлетнего цикла пересмотра. В этот же момент стартовал следующий, уже трехлетний цикл обновления стандартов, в течение которого любой желающий может направить в Совет свои предложения и пожелания относительно совершенствования стандартов.

Новые версии стандартов вступают в силу с 1 января 2011 года, однако официальный аудит можно будет проходить по предыдущей версии (1.2.1) вплоть до 31 декабря 2011 года.

Изменения, внесенные в стандарт PCI DSS, носят в основном уточняющий характер, все они подробно описаны в статье Обзор изменений версии 2.0 стандарта PCI DSS, опубликованой сегодня на нашем сайте.

Новые версии документов на английском языке вы можете скачать в нашей копилке, русский перевод будет доступен в ближайшее время.

В опубликованных Советом документах приведен перечень изменений, которые разделены на три следующие категории:

– Уточнение – уточняет значение требования и обеспечивает соответствие формулировки, примененной в стандарте, желаемой цели требования;

– Дополнительное разъяснение – предоставляет дополнительную информацию, разъясняющую цель требования;

– Развитие требования – актуализирует требование для того, чтобы стандарты учитывали новые угрозы и изменения, произошедшие на рынке.

Перечень изменений представлен в таблице:

Стандарты PCI DSS и PA-DSS версии 2.0 будут представлены Советом PCI SSC в октябре 2010 года.

22 июня Совет PCI SSC объявил о том, что три стандарта безопасности индустрии платежных карт: PCI DSS, PA-DSS и PTS отныне будут проходить трехлетний цикл развития. До сих пор жизненный цикл каждой версии стандарта составлял два года. При этом обновленные версии стандартов PCI DSS и PA-DSS будут представлены в октябре 2010.

Изменения являются результатом постоянного взаимодействия Совета с торгово-сервисными предприятиями, процессинговыми центрами, финансовыми организациями и другими участниками мировой платежной индустрии, которым требуется увеличение сроков, необходимых для стандартизации и установления прочной основы платежной безопасности внутри своих организаций. В рамках расширенного срока заинтересованные организации будут иметь не только больше времени для приведения систем в соответствие требованиям стандарта, но также смогут предоставить свои отзывы на двух предстоящих заседаниях Совета, которые пройдут в течение трехлетнего этапа развития.

Трехлетний цикл поможет обеспечить разработку и внедрение стандартов как части стратегии безопасности, которая позволит повысить безопасность данных платежных карт по всему миру. Планомерное и поэтапное внедрение новых версий стандартов поможет предотвратить ошибки на пути к соответствию в организациях к моменту публикации изменений. Таким образом, увеличение срока не только обеспечит понимание стандарта и его успешное внедрение в организациях, но вместе с тем, позволит Совету получить отзывы о нововведениях и обсудить замечания, а также время на рассмотрение возникающих угроз и новых технологий.

Источник: https://www.pcisecuritystandards.org/pdfs/pr_100622_lifecycle.pdf

Совет PCI SSC объявил о проведении веб-семинара, открытого для широкой публики и, в частности для Сообщества PCI, на котором будут обсуждаться обновления, принятые в стандарте PCI DSS за два года жизненного цикла этого стандарта. Веб-семинар состоится 22 и 23 июня в 23:00 и 19:00 по московскому времени.

Согласно анонсу, на веб-семинаре выступит генеральный директор PCI SSC, Боб Руссо, и в течение часа кратко расскажет о последних новостях в области обновления и развития стандарта. После чего мероприятие будет проходить в форме «вопрос-ответ».

К обсуждению планируются следующие вопросы:

При регистрации предоставляется возможность заранее отправить интересующие вопросы на рассмотрение организаторов.

Данный вебинар будет последним мероприятием в преддверии Community Meeting, организуемым PCI SSC, на котором можно будет задать вопросы по предстоящим изменениям в новой версии стандарта, которая выйдет в октябре.

Регистрация для участия 22 июня: http://register.webcastgroup.com/l3/?wid=0800622105248

Регистрация для участия 23 июня: http://register.webcastgroup.com/l3/?wid=0800623105249

Источник: https://www.pcisecuritystandards.org/pdfs/pr_100615_lifecycle.pdf.

В период с 18 по 20 октября состоится европейская сессия международного мероприятия PCI Security Standards Council Community Meeting-Barcelona, проводимого Советом PCI SSC. Сообществу экспертов по безопасности индустрии платежных карт будут представлены обновленные версии стандартов PCI DSS и PA-DSS.

Помимо нововведений, которые коснутся требований стандартов, в рамках конференции между представителями Совета PCI SSC, международных платежных систем, а также QSA и ASV компаний состоятся тематические беседы, в ходе которых будут обсуждаться актуальные вопросы, относящиеся к процедуре аудита, определению области аудита и применимости требований стандартов.

Эксперты Сообщества PCIDSS.RU примут активное участие в данном мероприятии с целью выхода на новый уровень взаимодействия с регуляторами отрасли и получения информации из первых рук.

Все интересующие вас вопросы, которые бы вы хотели задать Совету PCI SSC, представителям международных платежных систем, либо которые, по вашему мнению, требуют обсуждения в широком международном кругу экспертов по безопасности платежной отрасли, вы можете оставить в комментариях к этой заметке, либо прислать нам по адресу info@pcidss.ru. Отобранные нашими экспертами вопросы будут вынесены на обсуждение в рамках планируемого мероприятия.

Для распространения знаний о безопасности индустрии платежных карт подходят любые методы, в том числе и такие, как это произведение искусства. В этом клипе от Совета PCI SSC лично Боб Руссо исполнит нам песню про все 12 требований стандарта PCI DSS, новичкам смотреть обязательно:

Digital Security, обладая статусом PCI QSA с 2008 года, проводит аудит и сертификацию компаний, работающих с платежными системами Visa и MasterCard на соответствие PCI DSS на всей территории России, стран СНГ и Балтии. Получение нового статуса позволит Digital Security предоставить заказчикам услуги по сертификации по стандарту PA-DSS платежных приложений, участвующих в обработке карточных транзакций.

Илья Медведовский, директор Digital Security: «Получение статуса PA QSA является еще одним большим шагом в рамках общей стратегии развития нашей компании, который, с одной стороны, еще больше укрепляет позиции Digital Security как одного из лидеров в области PCI DSS в России и странах СНГ, а, с другой стороны, что крайне важно как для нас, так и для наших заказчиков не только из банковской сферы — факт официальной сертификации Советом PCI SSC нашей испытательной лаборатории, входящей в состав исследовательского центра DSecRG. Это является дополнительной гарантией традиционно высокого уровня качества наших услуг в области аудита безопасности бизнес приложений, ERP-систем, систем ДБО — одной из ключевых специализаций нашей компании, занимающей лидирующие позиции в данной области. Факт получения сотрудниками статуса PA QSA является еще одним официальным признанием нашего опыта в сфере анализа защищенности приложений».

16 Ноября 2009 года Совет по стандартам безопасности индустрии платежных карт (PCI SSC), международный орган, осуществляющий управление отраслевыми стандартами, такими как PCI DSS, PTS и PA-DSS, сообщил о начале следующего, третьего этапа жизненного цикла управления стандартами, в котором будут учитываться и анализироваться мнения сотен компаний, для последующего включения этих изменений в новые версии стандартов.

На всем протяжении второго этапа жизненного цикла стандартов PCI различные мнения были собраны от торгово-сервисных предприятий, поставщиков услуг, финансовых организаций, производителей, QSA аудиторов и ASV, и других привлеченных экспертов. Эта информация будет рассмотрена Советом и анализирована Консультационным Советом для определения изменений, которые необходимо внести в стандарт, и разработки соответствующей документации. Консультационный Совет был выбран более чем 500 организациями-участниками PCI SSC, и включает в себя двадцать одну организацию – от Cisco до McDonald’s, которые предоставляют важные сведения для непрерывного улучшения стандартов безопасности Совета.

В 2009 году Собрание Совета проходило в Лас Вегасе, штат Невада и в Праге, Чешская Республика, что позволило Совету получить важную информацию от организаций-участников, а также QSA/ASV. В этом году более чем 700 делегатов присутствовало на собрании, представляя свои личные идеи по модернизации стандарта. Встреча спровоцировала широкую дискуссию и открыла большое количество областей для исследования, включая:

• Создание дополнительных групп по интересам, независимых от Совета

• Разработку руководящих документов о влиянии стандартов PCI на банки-эмитенты

• Учет лучших практик

• Сокращение области применимости PCI DSS

• Продолжение развития программ поддержки качества

• Изучение влияния технологий токенизации, абонентского шифрования, чиповых карт и виртуальных терминалов на стандарты PCI

• Работа над осведомленностью о стандарте PCI среди торгово-сервисных предприятий всех размеров

«Совет получил конкретные и значимые сведения о стандарте PCI от большого количества членов платежной цепочки за последние четыре месяца, которые мы глубоко изучим, для того, чтобы гарантировать максимально возможную эффективность стандартов» - сказал Боб Руссо, главный менеджер Совета PCI SSC - «наш структурированный, но гибкий процесс жизненного цикла, позволяет нам эффективно реагировать на новые задачи безопасности, таким образом, организации и аудиторы имеют необходимые инструменты для своих программ безопасности».

Кроме того, члены Совета встречались с членами различных ассоциаций для получения обратной связи о стандартах от представителей индустрии, включая European Association of Payment Service Providers for Merchants (EPSM), International Air Transport Association (IATA), International Forecourt Standards Forum (IFSF), Merchant Advisory Group (MAG), National Association of ATM ISO’s and Operators (NAAIO), National Association of Convenience Stores (NACS), National Retail Federation (NRF), UK Payments and VendorCom. Ассоциации являются значимыми членами, и регулярные встречи предоставляют сторонам возможность выдвинуть вопросы, проблемы и пожелания напрямую Совету.

Более подробная информация о жизненном цикле PCI DSS доступна на сайте Совета PCI SSC: https://www.pcisecuritystandards.org/pdfs/OS_PCI_Lifecycle.pdf.

Автор Алексей Ендовский

На официальном сайте Совета PCI SSC находится перечень сертифицированных QSA-компаний.

С недавнего времени некоторые имена в этом перечне, в том числе IBM ISS, выделены красным цветом и находятся в статусе «In Remediation». Это означает, что проверка качества проводимого ими аудита выявила нарушения, требующие исправления в течение 90 дней.

Этот факт даёт понять всю серьезность намерений Совета PCI SSC в его стремлении обеспечить качество услуг, предоставляемых сертифицированными им компаниями.

Программа поддержки качества QSA-аудита, о которой мы уже писали ранее, состоит из четырех направлений:

• оценка качества Отчетов о Соответствии (ROC);

• анализ деятельности QSA-компании в области PCI DSS;

• оценка компетентности специалистов QSA-компании;

• проверка наличия признаваемых отраслевых сертификатов.

В случае выявления нарушений в работе QSA, компании дается определенный период времени на их устранение, продолжительность которого зависит от серьезности нарушения.

В случае, если компания QSA вовремя не устранит нарушение, а также в случае критичного нарушения, у компании может быть отозван статус QSA.

В ходе трёхдневного заседания, более 200 специалистов из различных стран мира обсуждали наиболее важные вопросы, связанные с реализацией текущей версии стандартов PCI DSS, знакомились с готовящейся к внедрению программой PIN Transaction Security Program, обсуждали насущные проблемы безопасности в индустрии платёжных карт, обменивались информацией об особенностях применения стандартов в различных регионах и др.

Участие представителя АРЧЕ в данном мероприятии положило начало практической работе российского банковского сообщества в PCI SSC. В ходе рабочих встреч представителя АРЧЕ с руководством PCI SSC были обсуждены и согласованы ближайшие конкретные действия, которые позволят АРЧЕ внести свой вклад в эту деятельность и заявить о себе, как об активном и профессиональном участнике Совета.

Как было отмечено в прошлой заметке о серьезном ужесточении позиции Совета PCI в отношении качества проводимого аудита: "Совет будет выборочно проверять Отчеты о Соответствии, а также сопоставлять представленную в них информацию с собранными в ходе аудита свидетельствами с целью поиска критичных нарушений, за которые последует лишение компании-аудитора статуса QSA, а также пересмотр результатов проведенных ею аудитов, вплоть до отзыва выданных ею Сертификатов Соответствия".

Для заказчика это означает, что не стоит считать, что если приглашать всегда одного и того же QSA, то таким образом можно всегда скрывать те или иные несоответствия (если предположить, что QSA пошел на сговор с клиентом, и закрыл глаза на сознательное нарушение требований стандарта или, что еще скорее, он просто не обладает достаточной квалификацией).

В частности, применительно к пентестам следует ОСОБО обратить внимание на следующие ставшие теперь крайне критичными нарушения:

• заведомо ложная трактовка аудитором требований стандарта;

• обозначение в Отчете о Соответствии невыполненного требования как выполненного.

Это означает, что теперь заказчикам стоит обратить самое пристальное внимание на порочную практику, когда для псевдо удешевления стоимости проекта вместо квалифицированных пентестеров они пользуются услугами непрофессионалов, в том числе, к сожалению, иногда по недоразумению, обладающих даже статусом QSA.

Подобные «пентестеры», прикрываясь своим статусом как щитом, идут на откровенное нарушение приведенных выше принципов, ЗАВЕДОМО выдавая за пентест обычный отчет сканера, являющийся всего лишь автоматизированной проверкой (необходимость которой описана в другом требовании стандарта)!

Теперь такая, ставшая, к сожалению, в последнее время у многих заказчиков достаточно типовой, порочная практика проведения дешевого (только для формального соблюдения требования стандарта), но неквалифицированного пентеста (по сути, автоматизированного сканирования) становится КРАЙНЕ накладной не только для QSA (который потеряет статус), но и, что самое главное, для заказчика - он немного сэкономит, но потеряет и Сертификат Соответствия, и репутацию.

Заказчикам следует обратить пристальное внимание на качество и стоимость пентеста. В данном случае или качественно, или дешево - третьего здесь не дано.

"Опасайтесь подделок!".

На ежегодной встрече QSA-аудиторов Совет PCI SSC объявил об ужесточении требований к процессу проведения сертификационного аудита.

В рамках программы поддержки качества Совет будет выборочно проверять Отчеты о Соответствии, а также сопоставлять представленную в них информацию с собранными в ходе аудита свидетельствами.

Меры, направленные на обеспечение объективности onsite-оценки выполнения требований стандарта, помимо оценки качества Отчетов о Соответствии, включают в себя также оценку деятельности компании-QSA и компетентности QSA-аудиторов.

Целью программы поддержки качества является обеспечение четырех основополагающих принципов деятельности QSA-аудитора: объективности, обоснованности, компетентности и сознательности.

К критичным нарушениям QSA-аудитором процедуры проверки относятся:

• сокрытие аудитором факта хранения критичных аутентификационных данных в инфраструктуре проверяемой организации;

• отсутствие статуса QSA у лица, руководящего процессом аудита на объекте;

• заведомо ложная трактовка аудитором требований стандарта;

• обозначение в Отчете о Соответствии невыполненного требования как выполненного.

В случае обнаружения Советом таких нарушений последует лишение компании-аудитора статуса QSA, а также пересмотр результатов проведенных ею аудитов, вплоть до отзыва выданных ею Сертификатов Соответствия.

Для обеспечения возможности проведения подобных проверок, QSA-аудиторы должны сохранять полученные в ходе аудита свидетельства (схемы, документы, записи интервью, скриншоты и т. п.) не менее трех лет.

Открыто обсудить вопросы, связанные с качеством работы QSA можно здесь.

Ни для кого не секрет, что основной целью приведения компании в соответствие требованиям PCI DSS является повышение уровня защищенности информационной инфраструктуры и скорейшее снижение рисков компрометации карточных данных.

Для того, чтобы дать специалистам по безопасности ориентир в бескрайнем море требований стандарта и помочь им сделать правильный выбор того, с чего следует начинать снижение рисков информационной безопасности, Совет PCI SSC разработал концепцию приоритетного подхода к выполнению требований PCI DSS.

Русский перевод этого документа можно найти в нашей копилке полезных материалов, рекомендуется для прочтения всем, кто встал на путь достижения PCI Compliance.