Главная его задача — обеспечение безопасности данных владельцев банковских карт.

Как рассказал руководитель направления управления доступом компании Softline Иван Молотилов, стандарт безопасности платежных карт (PCI DSS) был разработан и периодически дорабатывается советом, учрежденным международными платежными системами (MasterCard, VISA и др.). Главная его задача – обеспечение безопасности данных владельцев банковских карт, которая хранится и обрабатывается в информационных системах торгово-сервисных предприятий и поставщиков услуг, чья деятельность связана с приемом и обработкой платежей при помощи банковских карт. Выпущена новая версия стандарта была почти два года назад, и до сих пор носила рекомендательный характер.

— Стандарт довольно ощутимо видоизменен. Одно из его главных нововведений — повышение требований к периодичности проведения пентестов, то есть мероприятий по моделированию кибератак, которые в том или ином виде помогают понять степень защищенности от нападений злоумышленников. Новая редакция предписывает проведение тестов на проникновение не реже, чем раз в полгода, в то время как в прошлой версии рекомендовалось проводить их раз в год, и большинство компаний этим ограничивалось. Кроме того, в новой редакции PCI DSS усилены требования по многофакторной аутентификации, когда для доступа к данным кроме пароля требуется ввести дополнительные сведения, известные или принадлежащие конкретному пользователю. Если раньше многофакторная аутентификация требовалась пользователям, работающим в сегменте PCI DSS удаленно, то теперь это правило распространяется и на внутренних пользователей, имеющих доступ к защищаемому сегменту обработки платежных данных, — говорит Иван Молотилов.

По словам эксперта, в процессе автоматизированной обработки банковских карт потенциально возможен риск вешних кибератак или превышения должностных полномочий сотрудников организаций с целью мошенничества и хищения денежных средств.

— Необходимость периодического обновления стандарта связана с непрерывным процессом изобретения злоумышленниками новых способов атак на информационные системы. Стоит отметить, что все принимаемые нововведения разрабатываются на основе анализа статистики зафиксированных инцидентов безопасности в организациях, использующих процессинг банковских карт, потому полностью обоснованы и не являются завышенными, — говорит Иван Молотилов.

Он подчеркнул, что за неисполнение требований обновленного PCI DSS участников рынка эмиссии банковских карт будут ожидать санкции со стороны платежных систем (в основном они обладают статусом финансового характера, либо с ограничениями, связанными с бизнес-процессами).

— Предполагается, что двух лет (с момента принятия новой версии стандарта до дня его вступления в силу) достаточно, чтобы все участники рынка успели адаптировать свою инфраструктуру к новым требованиям. Но в конце 2017 года о соответствии новым требованиям, по нашей приблизительной оценке, могли заявить не более 30% организаций. В первую очередь, это наиболее крупные финансовые организации и участники индустрии процессинга карт, «топовые» российские банки, преимущественно базирующиеся в центральной части России. На мой взгляд, к 1 февраля ситуация существенно не изменится, в соответствии с экономической целесообразностью и за счет корректировок бюджета на ИТ, если грядущие изменения не были учтены при планировании бюджета, компании начнут подготавливать свою инфраструктуру к новым требованиям непосредственно перед предстоящим аудитом соответствия PCI DSS, который проводится ежегодно. Сделать это придется всем, потому что несоответствие требованиям – это штрафы и дополнительные издержки для компании, так как деятельность, связанная с платежами — весомая часть дохода таких компаний, — уверен эксперт.

Иван Молотилов уточнил, чтобы привести инфраструктуру в соответствие с новым PSI DSS, необходимо обратиться в компетентную компанию, обладающую статусом Qualified Security Assessor, которая проведет независимый аудит соответствия требованиям, выявит недостатки текущего состояния комплексной системы защиты сегмента процессинга платежей по банковским картам и выдаст рекомендации по их устранению.

— Устранение этих недостатков требует модернизации комплексной системы защиты информации и включения новых мер защиты, одной из которой, с учетом требований новой версии стандарта, может быть внедрение или модернизация системы многофакторной аутентификации, — говорит Иван Молотилов. — Если собственные решения или поставщики услуг, которые ваша организация использует для проведения пентестов и идентификации пользователей, не соответствуют новому стандарту PCI DSS, есть смысл позаботиться о выборе новых. В качестве примера таких решений можно привести разработку российской компании Indeed ID, а также лидера мирового рынка решений аутентификации – Gemalto c их решением SafeNet Authentication Service. Стоимость реализации проекта может начинаться от 400 000 рублей и зависит от количества пользователей, систем с которыми необходимо интегрироваться и используемого типа OTP-токена (устройства для генерации одноразовых паролей).

Эксперт подчеркнул, что лучше разобраться в существующих на рынке предложениях и подобрать то, которое подходит для реализации ваших потребностей, может помочь компания, где есть специалисты в области информационной безопасности. В частности, инженеры и архитекторы компании Softline, по его словам, могут организовать такой «пилот» бесплатно, и по его итогам помочь заказчику привести инфраструктуру в соответствие с требованиями разработчиков стандарта.

После устранения всех недочетов провести повторный аудит. В случае подтверждения устранения замечаний, компании выдается сертификат о соответствии PCI DSS. Впоследствии компания обязуется предоставлять платежной системе или эквайеру отчеты с самооценкой соответствия уровню сертификации, который определяется количеством транзакций в год.

Фото: пресс-служба компании