Контакты
Подписка
МЕНЮ
Контакты
Подписка

PCI DSS: успешный опыт стандартизации на протяжении свыше 10 лет

PCI DSS: успешный опыт стандартизации на протяжении свыше 10 лет

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

PCI DSS: успешный опыт стандартизации на протяжении свыше 10 лет

Разработанный ведущими мировыми платежными системами Стандарт безопасности индустрии платежных карт (Payment Card Industry Data Security Standard – PCI DSS) является примером сотрудничества конкурирующих игроков, которые объединяют усилия в противодействии угрозам информационной безопасности. Платежные технологии, поддерживающие их информационные решения, а также методы мошенников и хакеров постоянно совершенствуются. В свою очередь, стандарт адаптируется к новым реалиям, вбирая в себя лучшие практики из накопленного мирового опыта.
Олег Скородумов
Глава департамента управления рисками Visa в России

PCI DSS существует более десяти лет, за это время изменилась организационная структура его поддержки и управления. Был образован Совет по стандартам безопасности данных индустрии платежных карт, в который входит все больше участников рынка, сформирован институт независимых аудиторов информационной безопасности, уполномоченных проводить проверки на соответствие стандарту, возникла целая плеяда сопутствующих технических стандартов (например, PADSS, входящий в набор стандартов PCI), разработаны методики проверки соответствия, адаптированные под нужды отдельных групп его потребителей (например, формы самостоятельной оценки для различных торгово-сервисных предприятий). При этом платежные системы формируют собственные требования по способам подтверждения соответствия стандарту.

Важный элемент

Как видим, работа по управлению рисками информационной безопасности в индустрии безналичных платежей давно вышла за рамки одного документа. Это означает, что участникам платежных процессов – пользователям стандарта – необходимо обращать внимание не только на обновление отдельного стандарта, но и на изменения в сопутствующих документах, требованиях платежных систем и регламентах проверки соответствия.

Поскольку сам стандарт является достаточно зрелым, его новые версии не содержат концептуальных изменений в подходе или технических требованиях. Обновления носят в большей степени уточняющий характер и не должны существенно усложнять выполнение требований стандарта. Тем не менее, необходимо внимательно отнестись к очередным изменениям, так как некоторые уточнения могут потребовать пересмотра уже внедренных решений, если они были построены на основании неверного толкования требований стандарта.

Понимание требований, предъявляемых платежными системами по демонстрации соответствия PCI DSS, а также доступных способов проведения проверки на соответствие может позволить оптимизировать расходы, ведь далеко не всегда требуется привлекать независимого аудитора, поскольку можно обойтись и самостоятельной оценкой.

Также необходимо помнить, что стандарт, как и вся деятельность по защите информации, не является панацеей, призванной решить все проблемы безопасности разом. Он является важным элементом комплексного стратегического подхода по управлению финансовыми рисками, который предусматривает в том числе применение защищенных технологий, использование механизмов обнаружения мошеннической деятельности, оперативного реагирования, финансовую ответственность за несанкционированные транзакции и многое другое.

Таким образом, PCI DSS важно рассматривать в контексте с другими мерами и стандартами по управлению платежными рисками, включая мониторинг транзакций, применение технологий EMV и 3D Secure, контроль деятельности торговых точек и др. Комплексное применение всех контрольных механизмов обеспечит наиболее эффективное соотношение уровня безопасности, стоимости и удобства использования платежных технологий с учетом современных потребностей конечного пользователя.

Разберемся с терминами

Торгово-сервисные предприятия, обрабатывающие менее трех миллионов операций в год, могут проводить валидацию путем самостоятельной оценки. В то же время организации, подключенные к системам Visa напрямую, обязаны привлекать независимого аудитора. Все эти требования опубликованы на сайте: http://www.visa-asia.com/ap/sg/merchants/sta yingsecuremerchants/acco-untsecurity.shtml.

С этой точки зрения важно различать два понятия: "соответствие" и "валидация". Если первое подразумевает фактическое состояние систем и процессов в организации, при котором выполняются требования PCI DSS, то второе предусматривает метод или способ подтверждения (или демонстрации, проверки) такого соответствия. Иными словами, валидация (сертификация) подобна измерению температуры – дает возможность оценить состояние человека в конкретный момент времени. Ежегодная сертификация на соответствие стандарту является характерным примером регулярного "измерения температуры" с целью информированного управления рисками компрометации данных.

При этом наличие сертификата об успешном прохождении аудита на соответствие стандарту не означает, что системы и процессы автоматически соответствуют заявленным требованиям в течение всего года, а по истечении этого времени внезапно потеряют это свойство. В действительности системы или процессы могут перестать соответствовать стандарту в ходе обычного изменения систем без учета требований информационной безопасности.

Так, в результате расследований различных случаев утечки платежных данных, о которых широко говорилось в прессе, независимые эксперты выявляли несоответствие систем требованиям PCI DSS в момент компрометации. Таким образом, помимо успешной валидации необходимо предусмотреть наличие непрерывного процесса по поддержке соответствия на протяжении всего жизненного цикла систем.

Подтверждение на соответствие – валидация

На сегодняшний день существует несколько механизмов подтверждения на соответствие стандарту (валидации):

  • сертификация независимым квалифицированным аудитором (QSA – Qualified Security Assessor);
  • самостоятельная оценка на соответствие стандарту;
  • сканирование сети независимым квалифицированным экспертом (QSV – Qualified Scan Vendor).

Статусы QSA и QSV присваиваются Советом по стандартам безопасности данных индустрии платежных карт (PCI SSC), список таких организаций опубликован на его сайте https:// www.pcisecuritystandards.org/. Там же размещены упрощенные формы самостоятельной оценки на соответствие стандарту.

Visa сформировала специальные программы для торгово-сервисных предприятий, позволяющие снизить требования по валида-ции соответствия стандарту в случае использования защищенных технологий: поддержка чиповых карт – технологии EMV (TIP-program), а также применения технологии шифрования канала связи между терминалом и процессинговым центром банка (Point-to-point encryption). Использование этих технологий снижает риски компрометации данных и мошенничества.

Разделяя понятия соответствия и валидации, платежные системы могут предъявлять различные требования к участникам. Так, согласно правилам Visa, соответствовать стандарту должны все организации, занимающиеся обработкой платежных данных. В то же время в зависимости от степени риска, связанного с деятельностью участников платежного процесса, требования Visa по валидации соответствия PCI DSS отличаются.

Четкое понимание требований платежной системы, применяемых к конкретной организации, а также возможностей по снижению этих требований поможет наиболее эффективно подойти к процессу валидации (проверки соответствия). Ведь привлечение независимого аудитора требуется далеко не всегда.

Помочь в этом может и правильный скоупинг (scoping), т.е. точное определение области действия стандарта в организации. Далеко не все системы или процессы обработки информации в компании используют платежные "карточные" данные, следовательно, нет необходимости включать их в область применения стандарта, а соответственно, и в процесс проверки соответствия.

При этом эффективным подходом к защите информации является отказ от использования платежных данных в процессах и системах, если в них нет острой необходимости. Такой результат может достигаться как простым маскированием номеров карт, так и устранением сведений о картах из процесса обработки данных.

Хорошим примером могут служить системы интернет-банка, в которых нет необходимости демонстрировать клиенту полный номер карты, т.к. маскированного номера в большинстве случаев достаточно, чтобы клиент смог однозначно идентифицировать одну из своих карт. При этом использование карточных данных в таких системах повышает риски компрометации и автоматически распространяет на них действие стандарта.


В целом, при рациональном подходе к планированию процессов использования данных платежных карт ресурсы, необходимые для выполнения требований стандарта, могут быть существенным образом оптимизированы. А при надлежащем построении процесса поддержания соответствия стандарту процесс валидации проходит намного проще – не возникает необходимость в авральном режиме наводить порядок, нарушая бизнес-процессы и проводя реконфигурации систем.

В любом случае, использование ресурсов, которые затрачиваются на постоянную работу по совершенствованию систем защиты информации, обусловлено существующими вызовами современного мира и обеспечивает защиту финансовых интересов и репутации участников и пользователей платежной индустрии.

В свою очередь, правильное применение стандарта совместно с другими инструментами управления рисками позволяет оптимально расходовать эти ресурсы с максимальным положительным эффектом.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2015
Посещений: 6556

Приобрести этот номер или подписаться
  Автор

Олег Скородумов

Олег Скородумов

Глава департамента управления рисками Visa в России

Всего статей:  2

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций