По всей вероятности, российский рынок, в первую очередь финансовый, связанный со стандартом безопасности индустрии платежных карт PCI DSS, вскоре существенно расширится, поскольку банки, работающие с платежными картами, не только стремятся привести свои структуры и ИТ-системы в соответствие с PCI DSS, но и начинают требовать подтверждения соответствия от торгово-сервисных предприятий. Однако сейчас нет никаких гарантий, что деятельность компаний, связанная с этим стандартом, реально соответствует его требованиям и согласована с национальными регуляторами.
Стандарт безопасности индустрии платежных карт PCI DSS затрагивает самые разные организации сферы обработки платежных данных, взаимодействующие с платежными системами Visa, MasterCard, American Express, Discover Financial Services, JCB. Среди организаций, обязанных выполнять требования стандарта, — банки-эквайеры, торгово-сервисные предприятия, процессинговые центры, организации, выпускающие платежные карты, и все другие компании и организации, хранящие, передающие и обрабатывающие данные о держателях платежных карт.
Основная цель разработки и внедрения стандарта — подготовка и унификация различных требований международных платежных систем, позволяющая обеспечить безопасность данных держателей платежных карт в процессе их обработки и снизить количество преступлений, связанных с этими данными. Следует подчеркнуть, что если поначалу Совет по разработке стандартов безопасности индустрии платежных карт (PCI Security Council) и международные платежные системы основной акцент делали на безопасности банков и банкоматов, то потом все больше внимания стало уделяться безопасности в процессинговых центрах и торгово-сервисных предприятиях. Это, по замыслу авторов стандарта, позволит усилить безопасность и снизить риски банков.
По мнению Романа Чаплыгина, руководителя отдела консалтинга компании LETA, в случае соответствия требованиям PCI DSS организация существенно укрепляет свою репутацию, повышает уровень информационной безопасности и обеспечивает структурированную систему безопасности данных о держателях платежных карт.
Иван Бурдело, технический директор компании «Кабест» (группа «Астерос»), отмечает, что в России любые требования склонны считать чисто формальными, мало полезными, их стремятся обойти. «Специалисты с большей охотой готовы обсуждать недостатки любых стандартов и требований, чем преимущества от их соблюдения, поэтому популяризация стандарта PCI DSS в России необходима. О его пользе должны знать не только технические специалисты, но и топ-менеджмент банков и торгово-сервисных предприятий, предоставляющих клиентам услуги электронных платежей». С этой точкой зрения согласен Сергей Шустиков, генеральный директор компании «Дейтерий», специализирующейся на консалтинге в сфере управления ИБ: «В электронной коммерции соблюдение требований PCI DSS является конкурентным преимуществом, особенно для поставщиков ИТ-услуг».
Так сложилось исторически, что многие российские банки имеют свои процессинговые центры, и аутсорсинг обработки данных, связанных с картами, мало распространен. За рубежом чаще встречаются схемы, когда процессинг данных банка по транзакциям передается на аутсорсинг в специализированные независимые процессинговые компании. Не случайно поэтому PCI Security Standards Council и международные платежные системы уделяют особое внимание безопасности таких процессинговых компаний. Международные компании, оказывающие процессинговые услуги в финансовой сфере, еще мало представлены в России, однако они могут быстро прийти на наш рынок и предложить качественный и сертифицированный сервис.
От оживления — к активности
Всплеск нынешнего внимания к стандарту PCI DSS объясняется выходом в октябре прошлого года его новой версии. По оценкам Бурдело, изменения в нем произошли небольшие, они касались в основном исправления формулировок и акцентов. «Международные платежные системы, прежде всего MasterCard и VISA, вновь стали обращать внимание руководства российских банков на необходимость внедрения стандарта PCI DSS и прохождения аудита», — говорит Бурдело. Что показательно, на сегодня около десятка российских банков прошли аудиторские проверки на соответствие требованиям PCI DSS.
Постепенно к вопросам, которые затрагивает стандарт PCI DSS, подключаются и российские регуляторы. С одной стороны, принятый в 2011 году Федеральный закон № 161 «О национальной платежной системе» не имеет к PCI DSS никакого отношения, а местами даже противоречит ему. С другой, как отмечает Андрей Курило, заместитель начальника главного управления безопасности и защиты информации ЦБ РФ, в законе сформулирована задача обеспечения безопасности элементов платежной системы на государственном уровне. Это значит, что ЦБ РФ дано право выпускать нормативно-правовые акты по вопросам безопасности элементов платежных систем. Вскоре такие акты наверняка появятся. Можно не сомневаться, что они будут мотивировать заинтересованные стороны к соответствию требованиям стандарта PCI DSS.
Имеются официальные версии текста стандарта PCI DSS на большинстве европейских языков, однако на русском до сих пор такой версии нет. «Боб Руссо, генеральный директор PCI Security Standards Council, год назад говорил, что выпуск официальной версии стандарта на русском языке стоит в планах его организации. Основной причиной затягивания выпуска является, по его словам, сложность с верификацией терминологии предметной области на русском языке», — рассказывает Шустиков. Пока русской версии текста нет, многие компании вынуждены самостоятельно переводить стандарт и сопутствующие документы. Это приводит местами к вольным трактовкам требований стандарта, а где-то и искажению смысла.
Виктор Давидич, руководитель информационной безопасности процессинговой компании «Общая карта», предоставляющей услуги эмиссии карт, эквайринга и консалтинга в области платежных систем:
Все начинается с решения компании пройти аудит. Тут есть два варианта развития событий: аудит необходимо пройти по требованию клиентов или платежных систем, что бывает чаще, либо аудит инициируется и отстаивается перед директором компании начальником отдела информационной безопасности, что реже. Если инициатором выступает руководитель ИБ, то с высокой долей вероятности процессы так или иначе уже соответствуют требованиям стандарта.
Вопрос о том, по какой версии проводить аудит, в скором времени будет неактуален по причине обязательности второй версии с начала 2012 года. Основные изменения в ней коснулись уточнения пунктов, их перегруппировки, вопросов выделения виртуальных инфраструктур. Также были затронуты требования по смене криптографических ключей, внесены предложения по ранжированию обнаруженных уязвимостей и пр. В целом, если у вас не размещены на одном физическом сервере виртуальные серверы производственных и тестовых инфраструктур или если их перенос может быть осуществлен, особых трудностей не должно возникнуть. Правда, стоит быть готовым к тому, что, как и любое изменение бизнес-процессов, изменения, вносимые в рамках приведения компании к соответствию PCI DSS, будут встречать ожесточенное сопротивление со стороны руководителей отделов и остального персонала.
Подготовка компании к аудиту на предмет соответствия требованиям стандарта PCI DSS 2.0 требует четкого планирования, упорства и выдержки, умения балансировать между документированными требованиями стандарта и их реализацией таким образом, чтобы эти требования минимально влияли на действующие процессы в компании, но повышали при этом их реальную безопасность.
PCI DSS в России
Перспективы продвижения стандарта PCI DSS в 2012 году в России многие участники рынка склонны оценивать оптимистично. «Летом 2012 года наступает очередной крайний срок, после которого всем участникам платежного процесса необходимо будет использовать только сертифицированные по стандарту PA-DSS платежные приложения. Банки уже сейчас начинают требовать от торгово-сервисных предприятий подтверждения соответствия, а значит, рынок PCI DSS расширится», — отмечает Шустиков.
«Мы надеемся, что усилиями представителей MasterCard и VISA удастся убедить «критическую массу» банков в преимуществах соответствия стандарту PCI DSS. Также надеемся, что удастся интегрировать стандарты ЦБ РФ и PCI DSS», — говорит Бурдело. Правда, никто не берется сейчас сказать, какой может быть эта интеграция.
В 2012 году в России стартует новый проект по внедрению универсальной электронной карты (УЭК), которая заменит ее владельцу многие бумажные документы. Эта карта будет выполнять в том числе платежные функции. В связи с этим предстоит проработать интеграцию таких карт с единой платежной системой и обеспечить соблюдение требований стандарта PCI DSS. Тем не менее вопрос применимости PCI DSS к УЭК пока остается открытым — требований к информационной безопасности УЭК еще нет.
Представители VISA и MasterCard неоднократно разъясняли руководству российских банков свою позицию относительно необходимости и полезности следовать требованиям стандарта PCI DSS. В конце 2010 года соблюдение требований PCI DSS стало строго обязательным для новых участников. Без соответствующего заключения аудиторов банки и торгово-сервисные предприятия не смогут вновь подключиться к международным платежным системам. Но это требование имеет отношение только к очень крупным игрокам, а их в России мало, и все они уже известны. Появления новых ждать не приходится, а мелких игроков по-прежнему не наказывают и не контролируют.
В этой связи уместно спросить: что будет стимулировать в России следование канонам PCI DSS, помимо «кнутов»? По мнению ЦБ РФ, PCI DSS влияет на снижение рисков, но достигается оно комплексом мер. В результате внедрения стандарта PCI DSS процессы становятся прозрачны и наблюдаемы с точки зрения службы ИБ. Такими процессами проще управлять, а значит, вероятность рисков и чрезвычайных ситуаций существенно снижается. В частности, PCI DSS требует установить контроль за доступом к ресурсам со стороны администратора процессингового центра, где сосредоточена самая критичная информация — PIN-коды карт. Если установлен контроль на надлежащем уровне к этой базе данных, то риск утечки информации крайне низок.
В мировой практике наличие сертификата PCI DSS учитывается при расследовании инцидентов — утечек данных или мошеннических операций с помощью платежных карт. Банк или процессинговый центр, не имеющий сертификата PCI DSS, несет полную ответственность за произошедший инцидент, тогда как сертифицированная организация имеет шанс смягчить для себя неприятные последствия и разделить свою ответственность с аудитором. В российской практике все не так: едва ли отечественные стражи из МВД и суды будут всерьез учитывать наличие сертификатов PCI DSS. Страхования информационных рисков, где сертификат PCI DSS позволил бы снизить страховые ставки, в России нет (или почти нет, если не брать в расчет единичные страховые контракты). Ни одного прецедента компенсации и выплат припомнить не удается.
Благодаря предпринятым многими сторонами усилиям, ситуация вокруг PCI DSS вскоре непременно начнет обретать ясность. Хотелось бы, чтобы это произошло как можно быстрее. Пока же на рынке появляются сомнительные предложения по сертификации на соответствие требованиям различных международных стандартов.
Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»:
Должны обязательно предусматриваться санкции за невыполнение стандарта, отсутствие сертификата, специалистов с подтвержденной квалификацией и т. д. Ничего этого (во всяком случае, в России) нет. Между тем наш бизнес крайне рационален — делать что-то, из-за отсутствия чего не будет штрафа или выгоды, ни один владелец не хочет. Вторая колоссальная проблема — менталитет клиентов: им абсолютно нет никакого дела до международных сертификатов. К тому же очень многие уверены, что все сертификаты покупаются (мнение, кстати, во многих случаях небезосновательное). Механизм возврата инвестиций отсутствует, конкурентных преимуществ у сертифицированного банка нет, санкций за невыполнение стандарта тоже нет — значит, нет и смысла брать на себя дополнительную ношу.
Процесс популяризации стандарта сдерживается целым рядом факторов, в частности отсутствием официального перевода стандарта на русский язык. В этих условиях разные специалисты по-разному понимают не только термины, но и требования, что снижает доверие клиента, в ходе подготовки аудита послушавшего мнения разных компаний.
Оказание услуги по сертификации сосредоточено в компаниях-интеграторах, которые, используя различные ухищрения, по сути, сертифицируют свою же работу, что в принципе противоречит требованиям аудита. При нормальной постановке дела аудит должен быть самостоятельным, основным бизнесом. Кроме того, наши отечественные аудиторы варятся исключительно в собственном соку, а стандарт-то отнюдь не российский... Их клиентов наверняка будет беспокоить вопрос: как специалист, никогда не работавший на Западе, будет внедрять лучшие западные практики?