Контакты
Подписка
МЕНЮ
Контакты
Подписка

Безопасность в индустрии платежных карт

Безопасность в индустрии платежных карт

В рубрику "Маркетинг" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Безопасность в индустрии платежных карт

Наталья Зосимовская
Компания "Информзащита"

"Информзащита" - единственная российская компания, имеющая статусы "Qualified Security Assessor" и "Approved Scanning Vendor", сертифицированная на выполнение аудита информационных систем компаний, а также сканирование сети в соответствии с требованиями Стандарта PCI DSS. На сегодняшний день компания "Информзащита" провела больше пятнадцати аудитов и десяти сканирований сети в крупнейших банках и процес-синговых центрах России и стран СНГ.

О стандарте PCI DSS

Payment Card Industry Data Security Standard (Стандарт защиты информации в индустрии платежных карт) - это уникальный набор требований к безопасности данных, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover.

Цель разработки стандарта - повышение защищенности электронных торговых и платежных систем.

Решение о создании данного единого стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщающих о краже или утечке конфиденциальной информации касательно счетов их клиентов.

Стандарт объединяет программы по безопасности, разработанные международными платежными системами. На их основе создан единый набор мер и требований, соблюдение которых призвано способствовать сохранности значимой конфиденциальной информации. Если компания работает с платежными системами, но не прикладывает усилий к тому, чтобы защитить конфиденциальную информацию о счетах клиентов и операциях по ним, она рискует понести финансовые потери, вызванные мошенничеством, а также потерять доверие клиентов. Именно поэтому в рамках требований Стандарта PCI DSS предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Аудит на соответствие требования PCI DSS

Являясь "Qualified Security Assessor", компания "Информзащита" сертифицирована для проведения аудита на соответствие требованиям Стандарта PCI DSS.

В рамках аудита реализуется несколько последовательных этапов, разных по трудоемкости и длительности.
  1. Проверка документов. На данном этапе аудиторы проверяют необходимый пакет документов, предоставленных клиентом: описание политики информационной безопасности компании, стандарты и частные политики, принятые в компании, документированные процессы и процедуры, отражающие связь между тем, что зафиксировано в политике ИБ, и тем, как это реализуется на практике.
  2. Определение зоны контроля (Scope&Sampling). Зона контроля должна включать в себя все устройства и сетевые сегменты, производящие хранение, обработку или передачу данных, содержащих информацию платежных карт, а также все сетевые сегменты и устройства, подключенные к данным сегментам. Зона контроля может быть довольно большой, поэтому, используя специальную методику, аудитор делает репрезентативную выборку (Sampling) устройств, подлежащих проверке в ходе аудита.
  3. Оценка соответствия на месте (On-site audit). После определения выборки и завершения проверки необходимых документов начинается этап непосредственной проверки реализации требований Стандарта PCI DSS на территории клиента. Аудиторы проверяют реализацию методов защиты и их соответствия требованиям PCI DSS, а также представленным ранее нормативным документам компании.
  4. Подготовка и распространение отчета. После окончания проверки на месте начинается работа над подготовкой отчета. Если компания соответствует всем требованиям Стандарта, то в международную платежную систему посылается соответствующий отчет (ROC для Visa и COV для MasterCard).
  5. Подготовка плана по устранению несоответствий (Action Plan). Если в ходе проверки было найдено хотя бы одно несоответствие, пишется action plan, то есть план по устранению несоответствий. В нем указываются конкретные даты исправления несоответствий, а также способы их устранения.

Сканирование сети в соответствии с требованиями PCI DSS

В соответствии с предписаниями Стандарта PCI DSS, компании должны ежеквартально проходить процедуру сканирования сети.

Сканирование помогает идентифицировать уязвимости и некорректные конфигурации элементов ИТ-инфра-структуры.

Компания "Информзащита", как "Approved Scanning Vendor", реализует следующие работы в рамках тестирования защищенности сети клиента:
  • определение перечня узлов, подлежащих тестированию;
  • инструментальное тестирование защищенности;
  • формирование и согласование отчетной документации.
По итогам выполненных работ составляется "Сводный отчет о тестировании защищенности", содержащий:
  • перечень IP-адресов узлов, для которых проводилось тестирование защищенности;
  • статус каждого узла, определенный по результатам проведенного тестирования.
Кроме того, составляется "Детализированный отчет о тестировании защищенности", включающий полный перечень выявленных уязвимостей данного узла в порядке убывания степени их критичности, содержащий детальное описание каждой уязвимости:
  • название уязвимости;
  • ссылка производителя;
  • степень критичности;
  • оценка уязвимости по CVSS;
  • подробное описание уязвимости;
  • рекомендации по устранению или снижению риска.
Результаты сканирования дают важную информацию, помогающую обеспечивать эффективное управление безопасностью и защиту от Интернет-атак.

Статьи про теме