Аналитика и комментарии

20 сентября 2016

PCI DSS развивается вместе с рынком

В последние годы по всему миру участились случаи взлома банковских информационных систем, а также факты мошенничества и кражи данных держателей карт. Подобная тенденция побудила международные платежные системы объединить усилия и принять дополнительные меры для защиты своих клиентов. С этой целью в 2004 году был разработан новый набор требований к безопасности данных – Payment Card Industry Data Security Standard (PСI DSS). Он объединил в себе требования ряда программ по безопасности таких платежных систем, 
как VISA, MasterCard, American Express и Discover Card 

NBJ № 5(39), 2007
«Осторожно: стандарт!», стр. 94–95

 

Количество информационных инцидентов последние пять лет растет катастрофическими темпами, данные карт похищают по всему миру. Статистика информационных атак на банки показывает, что 89% действий злоумышленников направлено на хищение средств.
Лучшая защита в данном случае, по мнению экспертов, – поддержание соответствия стандартам информационной безопасности, в частности универсальному международному стандарту PCI DSS.
Любая кредитно-финансовая организация, развивая бизнес, связанный с платежными картами, неизбежно сталкивается с требованиями PCI DSS. В его основе лежат базовые технические и эксплуатационные требования, обеспечивающие защиту данных о держателях карт. PCI DSS предназначен для использования аудиторами при проверке на соответствие требованиям всех организаций сферы обработки платежных данных, а именно торгово-сервисных предприятий, процессинговых центров, банков-эквайеров, организаций, выпускающих платежные карты, поставщиков услуг – и также других организаций, которые хранят, обрабатывают или передают информацию о держателях карт. 
На российском рынке пока не применяются санкции за нарушение PCI DSS. Платежная система VISA ввела правила: аудит на PCI DSS является обязательным, однако если по его результатам выявляются некоторые несоответствия, то никаких санкций не применяется. Платежная система MasterCard пока рассматривает PCI DSS на нашем рынке как рекомендательный стандарт, то есть нет наказаний даже за непрохождение аудита. Несмотря на это, крупные российские банки считают для себя необходимым пройти процедуру соответствия стандартам. Часть из них уже прошла сертификацию, другие кредитные организации проходят аудит в настоящее время и получают рекомендации по разграничению доступа, внедрению систем DLP и т.п.
Оценка соответствия требованиям стандарта PCI DSS обязательно должна проводиться сертифицированной в индустрии платежных карт компанией (имеющей статус Qualified Security Assessor, QSA). Компания QSA, проводящая аудит раз в год, выносит решение по соответствию или несоответствию PCI DSS, который содержит 12 пунктов, включающих около 200 правил. С формальной точки зрения схема работы выглядит просто, однако в реальности могут возникать различные нюансы.
Пластиковые карты на российском рынке используются достаточно давно, связанные с ними системы зачастую разрабатывались до появления на отечественном рынке стандарта PCI DSS и теперь во многом не соответствуют ему. Поэтому возникает необходимость менять эти системы. Тем более что сам PCI DSS находится в постоянном развитии, поскольку он должен соответствовать активно меняющемуся рынку кредитных и депозитных карт. Например, редакция 2.0 данного стандарта была принята в октябре 2010 года, редакция 3.0 — в ноябре 2013 года. Редакция 3.1 (то есть дополненная и расширенная версия 3.0) – в апреле 2015 года, а редакция 3.2 – всего через год после этого, в апреле 2016 года. Даже по такому отнюдь не полному перечню легко убедиться в том, что стандарт не стоит на месте. Постоянно растет и перечень услуг, связанных с картами, а следовательно, расширяется сфера использования PCI DSS. 
Эксперты уверены, что PCI DSS имеет большие перспективы в России, – хотя бы потому, что благодаря требованиям стандарта банки и другие организации находят более эффективные способы защиты данных своих клиентов. Тем более что стандарт – это не только защита, но и договор о правилах работы на рынке, ведь любая стандартизация упрощает интеграцию между организациями.   

Поделиться:
 

Возврат к списку