Яндекс.Метрика

С 1 февраля 2018 года вступает в силу новая версия стандарта безопасности платежных карт

Дата:

Главная его задача — обеспечение безопасности данных владельцев банковских карт. Как рассказал руководитель направления управления доступом компании Softline Иван Молотилов, стандарт безопасности платежных карт (PCI DSS) был разработан и периодически дорабатывается советом, учрежденным международными платежными системами (MasterCard, VISA и др.). Главная его задача – обеспечение безопасности данных владельцев банковских карт, которая хранится и обрабатывается в […]

Главная его задача — обеспечение безопасности данных владельцев банковских карт.

Как рассказал руководитель направления управления доступом компании Softline Иван Молотилов, стандарт безопасности платежных карт (PCI DSS) был разработан и периодически дорабатывается советом, учрежденным международными платежными системами (MasterCard, VISA и др.). Главная его задача – обеспечение безопасности данных владельцев банковских карт, которая хранится и обрабатывается в информационных системах торгово-сервисных предприятий и поставщиков услуг, чья деятельность связана с приемом и обработкой платежей при помощи банковских карт. Выпущена новая версия стандарта была почти два года назад, и до сих пор носила рекомендательный характер.

— Стандарт довольно ощутимо видоизменен. Одно из его главных нововведений — повышение требований к периодичности проведения пентестов, то есть мероприятий по моделированию кибератак, которые в том или ином виде помогают понять степень защищенности от нападений злоумышленников. Новая редакция предписывает проведение тестов на проникновение не реже, чем раз в полгода, в то время как в прошлой версии рекомендовалось проводить их раз в год, и большинство компаний этим ограничивалось. Кроме того, в новой редакции PCI DSS усилены требования по многофакторной аутентификации, когда для доступа к данным кроме пароля требуется ввести дополнительные сведения, известные или принадлежащие конкретному пользователю. Если раньше многофакторная аутентификация требовалась пользователям, работающим в сегменте PCI DSS удаленно, то теперь это правило распространяется и на внутренних пользователей, имеющих доступ к защищаемому сегменту обработки платежных данных, — говорит Иван Молотилов.

По словам эксперта, в процессе автоматизированной обработки банковских карт потенциально возможен риск вешних кибератак или превышения должностных полномочий сотрудников организаций с целью мошенничества и хищения денежных средств.

— Необходимость периодического обновления стандарта связана с непрерывным процессом изобретения злоумышленниками новых способов атак на информационные системы. Стоит отметить, что все принимаемые нововведения разрабатываются на основе анализа статистики зафиксированных инцидентов безопасности в организациях, использующих процессинг банковских карт, потому полностью обоснованы и не являются завышенными, — говорит Иван Молотилов.

Он подчеркнул, что за неисполнение требований обновленного PCI DSS участников рынка эмиссии банковских карт будут ожидать санкции со стороны платежных систем (в основном они обладают статусом финансового характера, либо с ограничениями, связанными с бизнес-процессами).

— Предполагается, что двух лет (с момента принятия новой версии стандарта до дня его вступления в силу) достаточно, чтобы все участники рынка успели адаптировать свою инфраструктуру к новым требованиям. Но в конце 2017 года о соответствии новым требованиям, по нашей приблизительной оценке, могли заявить не более 30% организаций. В первую очередь, это наиболее крупные финансовые организации и участники индустрии процессинга карт, «топовые» российские банки, преимущественно базирующиеся в центральной части России. На мой взгляд, к 1 февраля ситуация существенно не изменится, в соответствии с экономической целесообразностью и за счет корректировок бюджета на ИТ, если грядущие изменения не были учтены при планировании бюджета, компании начнут подготавливать свою инфраструктуру к новым требованиям непосредственно перед предстоящим аудитом соответствия PCI DSS, который проводится ежегодно. Сделать это придется всем, потому что несоответствие требованиям – это штрафы и дополнительные издержки для компании, так как деятельность, связанная с платежами — весомая часть дохода таких компаний, — уверен эксперт.

Иван Молотилов уточнил, чтобы привести инфраструктуру в соответствие с новым PSI DSS, необходимо обратиться в компетентную компанию, обладающую статусом Qualified Security Assessor, которая проведет независимый аудит соответствия требованиям, выявит недостатки текущего состояния комплексной системы защиты сегмента процессинга платежей по банковским картам и выдаст рекомендации по их устранению.

— Устранение этих недостатков требует модернизации комплексной системы защиты информации и включения новых мер защиты, одной из которой, с учетом требований новой версии стандарта, может быть внедрение или модернизация системы многофакторной аутентификации, — говорит Иван Молотилов. — Если собственные решения или поставщики услуг, которые ваша организация использует для проведения пентестов и идентификации пользователей, не соответствуют новому стандарту PCI DSS, есть смысл позаботиться о выборе новых. В качестве примера таких решений можно привести разработку российской компании Indeed ID, а также лидера мирового рынка решений аутентификации – Gemalto c их решением SafeNet Authentication Service. Стоимость реализации проекта может начинаться от 400 000 рублей и зависит от количества пользователей, систем с которыми необходимо интегрироваться и используемого типа OTP-токена (устройства для генерации одноразовых паролей).

Эксперт подчеркнул, что лучше разобраться в существующих на рынке предложениях и подобрать то, которое подходит для реализации ваших потребностей, может помочь компания, где есть специалисты в области информационной безопасности. В частности, инженеры и архитекторы компании Softline, по его словам, могут организовать такой «пилот» бесплатно, и по его итогам помочь заказчику привести инфраструктуру в соответствие с требованиями разработчиков стандарта.

После устранения всех недочетов провести повторный аудит. В случае подтверждения устранения замечаний, компании выдается сертификат о соответствии PCI DSS. Впоследствии компания обязуется предоставлять платежной системе или эквайеру отчеты с самооценкой соответствия уровню сертификации, который определяется количеством транзакций в год.

Фото: пресс-служба компании

Рубрики : Технологии

Регионы : Регион не задан

Теги :Теги не заданы

0
0

Ли Тань: Цифровую трансформацию бизнеса я считаю марафоном, а не забегом на короткую дистанцию

В Новосибирске прошел «Альфа-Саммит» — флагманское деловое событие «Альфа-Банка», собравшее более 600 представителей среднего и крупного бизнеса из реального, технологического, финансового и других секторов экономики, а также свыше 30 спикеров. Среди ключевых тем обсуждения были цифровизация бизнеса, киберустойчивость компаний, ситуация на рынке труда, инструменты финансирования для бизнеса, рынок проектного финансирования.

— В Новосибирской области очень редкое сочетание: сильная промышленная база, развитое предпринимательство, университеты и высокий уровень цифровых компетенций. Именно такие регионы становятся точками роста экономики. Повестка «Альфа-Саммита» — это карта вызовов сегодняшнего дня, — отметил, открывая саммит, первый заместитель председателя правления, директор крупного и среднего бизнеса «Альфа-Банка» Владимир Воейков.

Читать полностью

Более 7000 ИТ-компаний работают в Новосибирской области

На 1 июня 2026 года в Новосибирской области работали 7025 ИТ-компаний. Это 2,65% от всех занятых в ИТ-отрасли России бизнесов. С 2022 года количество игроков в отрасли региона увеличилось на 22,5%. По России рост составил 38% — до 256 тысяч игроков. В целом по всем отраслям экономики — 16%.

— ИТ-отрасль по-прежнему растёт быстрее, чем экономика. По нашим оценкам, выручка в отрасли в прошлом году выросла на 6%, в целом по экономике — 3%. Выручка ИТ-компаний Новосибирской области за 2025 год — на 28%, — констатировал Артём Прескарьян, IT-директор СКБ Контур.

Читать полностью

Заказчик ЦКП СКИФ подал в Ростехнадзор уведомление о завершении строительства

Подходит к завершению строительство объектов Центра коллективного пользования «Сибирский кольцевой источник фотонов» (ЦКП СКИФ) — одновременно близится начало сначала тестовых, а затем и плановых научных экспериментов.

Заказчиком и застройщиком ЦКП СКИФ является Институт катализа СО РАН – именно он 20 июня 2026 года подал в Ростехнадзор уведомление о завершении строительства в новосибирском посёлке Кольцово сложнейшего высокотехнологичного объекта. По словам директора Института ядерной физики им. Г.И. Будкера СО РАН (ИЯФ) Павла Логачева, заключение Ростехнадзора о соответствии построенного проектной документации ожидается до конца июня.

Читать полностью

Новосибирский застройщик принял на работу робота-консьержа

В одном из жилых комплексов Новосибирска начал работу робот-консьерж. Цифрового помощника назвали Тино, он уже встречает гостей и жителей в холле здания. Появление робота стало частью программы по внедрению технологий искусственного интеллекта в сферу обслуживания недвижимости.

Робот разработан по заказу новосибирской группы компаний SKY GROUP. Он может работать без постоянного подключения к интернету: все процессы — от распознавания голоса до синтеза речи — обрабатываются локально. Это обеспечивает быструю реакцию и надёжность системы.

Читать полностью

В новый Технопарк Новосибирск намерен привлекать ИТ-компании из других регионов

Работы по созданию технопарка для айтишников, который будет расположены недалеко от центра Новосибирска в локации «Инские холмы», стартуют в этом году. Об этом в ходе прямого эфира, подводя итоги ПМЭФ, сообщил губернатор региона Андрей Травников.

— Это проект двойного назначения. С одной стороны, группа Сбера строит себе новое здание для размещения своих ИТ-подразделений. Второе здание будет иметь статус технопарка. Мы надеемся, что там «приземлятся» профильные ИТ-подразделения и подразделения разработки других крупных компаний, которые заинтересованы в кадрах, — отметил Травников.

Читать полностью

Технопарк для айтишников за 10 млрд рублей построят в Новосибирске

Соглашение о создании технопарка в сфере высоких технологий было подписано на ПМЭФ 2026. Его завизировали заместитель председателя правления Сбербанка Анатолий Попов, губернатор региона Андрей Травников и представитель «ВКД-1» девелопер Вадим Ильченко. Проект появится в сити-квартале «Инские холмы», который возводит компания Ильченко «Верба Капитал». Речь идет о многофункциональных пространствах на площади 15 тысяч кв метров, где планируется создать около 900 рабочих мест.

— Строительство Технохаба Сбера станет лишь первым этапом по созданию крупнейшего в Сибири комплекса застройки бизнес-пространства класса А, рассчитанного на 2500 рабочих мест и общей площадью 55 тысяч квадратных метров, с объёмом инвестиций более 10 млрд руб, — пояснили в правительстве региона.

Читать полностью
Прямым текстом

Подпишитесь на новости
Подпишитесь на рассылку самых актуальных новостей.

Выражаю согласие на обработку персональных данных, указанных при заполнении формы подписки на рассылку новостей в соответствии с Политикой конфиденциальности и Согласием на обработку персональных данных.

Я согласен (согласна)

 
×
Поиск по автору:
×
Июль 2026
Пн Вт Ср Чт Пт Сб Вс
 12345
6789101112
13141516171819
20212223242526
2728293031  
×





    Выражаю согласие на обработку персональных данных, указанных при заполнении формы «Предложить новость» в соответствии с Политикой конфиденциальности и Согласием на обработку персональных данных.
    Я согласен (согласна)

    ×

    Эксклюзивный материал

    Материалы, отмеченные значком , являются эксклюзивными, то есть подготовлены на основе информации, полученной редакцией infopro54.ru. При цитировании, перепечатке ссылка на источник обязательна

    ×

      Участие в конференции бесплатно






      Формат участия:

      [yandex_captcha yandex_captcha-816]
      Отправляя сообщение, я принимаю условия соглашения об использовании персональных данных и соглашаюсь с Правилами сайта

      ×

        Участие в конференции бесплатно








        Отправляя сообщение, я принимаю условия соглашения об использовании персональных данных и соглашаюсь с Правилами сайта

        ×
        На нашем сайте используются файлы cookie. Продолжая пользоваться сайтом, Вы подтверждаете свое согласие на использование файлов cookie в соответствии с условиями их использования
        Понятно
        Политика конфиденциальности