С 1 февраля 2018 года вступает в силу новая версия стандарта безопасности платежных карт

Главная его задача — обеспечение безопасности данных владельцев банковских карт.

Как рассказал руководитель направления управления доступом компании Softline Иван Молотилов, стандарт безопасности платежных карт (PCI DSS) был разработан и периодически дорабатывается советом, учрежденным международными платежными системами (MasterCard, VISA и др.). Главная его задача – обеспечение безопасности данных владельцев банковских карт, которая хранится и обрабатывается в информационных системах торгово-сервисных предприятий и поставщиков услуг, чья деятельность связана с приемом и обработкой платежей при помощи банковских карт. Выпущена новая версия стандарта была почти два года назад, и до сих пор носила рекомендательный характер.

— Стандарт довольно ощутимо видоизменен. Одно из его главных нововведений — повышение требований к периодичности проведения пентестов, то есть мероприятий по моделированию кибератак, которые в том или ином виде помогают понять степень защищенности от нападений злоумышленников. Новая редакция предписывает проведение тестов на проникновение не реже, чем раз в полгода, в то время как в прошлой версии рекомендовалось проводить их раз в год, и большинство компаний этим ограничивалось. Кроме того, в новой редакции PCI DSS усилены требования по многофакторной аутентификации, когда для доступа к данным кроме пароля требуется ввести дополнительные сведения, известные или принадлежащие конкретному пользователю. Если раньше многофакторная аутентификация требовалась пользователям, работающим в сегменте PCI DSS удаленно, то теперь это правило распространяется и на внутренних пользователей, имеющих доступ к защищаемому сегменту обработки платежных данных, — говорит Иван Молотилов.

По словам эксперта, в процессе автоматизированной обработки банковских карт потенциально возможен риск вешних кибератак или превышения должностных полномочий сотрудников организаций с целью мошенничества и хищения денежных средств.

— Необходимость периодического обновления стандарта связана с непрерывным процессом изобретения злоумышленниками новых способов атак на информационные системы. Стоит отметить, что все принимаемые нововведения разрабатываются на основе анализа статистики зафиксированных инцидентов безопасности в организациях, использующих процессинг банковских карт, потому полностью обоснованы и не являются завышенными, — говорит Иван Молотилов.

Он подчеркнул, что за неисполнение требований обновленного PCI DSS участников рынка эмиссии банковских карт будут ожидать санкции со стороны платежных систем (в основном они обладают статусом финансового характера, либо с ограничениями, связанными с бизнес-процессами).

— Предполагается, что двух лет (с момента принятия новой версии стандарта до дня его вступления в силу) достаточно, чтобы все участники рынка успели адаптировать свою инфраструктуру к новым требованиям. Но в конце 2017 года о соответствии новым требованиям, по нашей приблизительной оценке, могли заявить не более 30% организаций. В первую очередь, это наиболее крупные финансовые организации и участники индустрии процессинга карт, «топовые» российские банки, преимущественно базирующиеся в центральной части России. На мой взгляд, к 1 февраля ситуация существенно не изменится, в соответствии с экономической целесообразностью и за счет корректировок бюджета на ИТ, если грядущие изменения не были учтены при планировании бюджета, компании начнут подготавливать свою инфраструктуру к новым требованиям непосредственно перед предстоящим аудитом соответствия PCI DSS, который проводится ежегодно. Сделать это придется всем, потому что несоответствие требованиям – это штрафы и дополнительные издержки для компании, так как деятельность, связанная с платежами — весомая часть дохода таких компаний, — уверен эксперт.

Иван Молотилов уточнил, чтобы привести инфраструктуру в соответствие с новым PSI DSS, необходимо обратиться в компетентную компанию, обладающую статусом Qualified Security Assessor, которая проведет независимый аудит соответствия требованиям, выявит недостатки текущего состояния комплексной системы защиты сегмента процессинга платежей по банковским картам и выдаст рекомендации по их устранению.

— Устранение этих недостатков требует модернизации комплексной системы защиты информации и включения новых мер защиты, одной из которой, с учетом требований новой версии стандарта, может быть внедрение или модернизация системы многофакторной аутентификации, — говорит Иван Молотилов. — Если собственные решения или поставщики услуг, которые ваша организация использует для проведения пентестов и идентификации пользователей, не соответствуют новому стандарту PCI DSS, есть смысл позаботиться о выборе новых. В качестве примера таких решений можно привести разработку российской компании Indeed ID, а также лидера мирового рынка решений аутентификации – Gemalto c их решением SafeNet Authentication Service. Стоимость реализации проекта может начинаться от 400 000 рублей и зависит от количества пользователей, систем с которыми необходимо интегрироваться и используемого типа OTP-токена (устройства для генерации одноразовых паролей).

Эксперт подчеркнул, что лучше разобраться в существующих на рынке предложениях и подобрать то, которое подходит для реализации ваших потребностей, может помочь компания, где есть специалисты в области информационной безопасности. В частности, инженеры и архитекторы компании Softline, по его словам, могут организовать такой «пилот» бесплатно, и по его итогам помочь заказчику привести инфраструктуру в соответствие с требованиями разработчиков стандарта.

После устранения всех недочетов провести повторный аудит. В случае подтверждения устранения замечаний, компании выдается сертификат о соответствии PCI DSS. Впоследствии компания обязуется предоставлять платежной системе или эквайеру отчеты с самооценкой соответствия уровню сертификации, который определяется количеством транзакций в год.

Фото: пресс-служба компании

tkrasnova

Recent Posts

Андрей Гудовский: Для развития Новосибирску нужна стратегическая цель

А для ее реализации — политическая воля, смелость в принятии решений, желание брать на себя…

13 минут ago

Следователи провели обыски у главы Минпромторга и заммэра Новосибирска

Следственные действия прошли после возбуждения уголовного дела в отношении подчиненных министра

14 минут ago

По новосибирской франшизе открывается ресторан в Барнауле

Это будет второй филиал «Аджикинежаль» в административном центре Алтайского края

29 минут ago

Проценты по вкладам зафиксировались на пиковых значениях

Пока предпосылок для их дальнейшего роста участники рынка не видят

55 минут ago

Ледовой городок на набережной откроется 30 декабря

Аттракцион будет открыт ежедневно с 11:00 до 22:00

59 минут ago

Перевозку вторсырья из других регионов на переработку предлагают субсидировать

Доставка стеклоотходов из отдаленных регионов к месту утилизации убыточна для переработчиков

59 минут ago