Мани Туласи: «Visa намерена решительно добиваться широкой адаптации стандартов безопасных платежей» Сотрудники «Информзащиты» представили обзор стандарта PCI DSS (Payment Card Industry Data Security Standard), требований к его внедрению, рассказали о процедуре проведения аудита и поделились своим опытом, касающимся типовых несоответствий и основных трудностей, с которыми сталкиваются компании при выполнении требований стандарта. В конференции также принял участие представитель Visa Мани Туласи, который рассказал о существующих требованиях платежной системы Visa к применению стандартов PCI DSS и PA DSS (Payment Applications Data Security Standard) и контроле соответствия требованиям данных стандартов в платежной системе Visa.

Первая редакция стандарта PCI DSS была разработана в 2004 году на основе требований к безопасности данных платежных систем Visa, Master Card, American Express, Discover Card и JCB.

Вначале международные платежные системы требовали от своих участников и торгово-сервисных предприятий обеспечить соответствие стандарту только на территории США и Западной Европы, применяя штрафные санкции за невыполнение данных требований. Для других регионов эти требования также были обязательными, но никаких санкций за их невыполнение не предусматривалось.

В сентябре 2006 года для развития и продвижения стандарта был создан специальный совет по стандартам безопасности --- PCI Security Standards Council, в который вошли представители перечисленных платежных систем. И с сентября 2006 года санкции за непрохождение аудита по стандарту распространились на регион CEMEA, в который входит и Россия, что послужило стимулом для внедрения PCI DSS российскими банками, процессинговыми центрами и торгово-сервисными организациями.

Действие PCI DSS распространяется на все организации, работающие с международными платежными системами, которые передают, обрабатывают и хранят данные держателей карт. В зависимости от числа обрабатываемых транзакций в год компании присваивается определенный уровень с соответствующим набором требований по безопасности. Процедуры подтверждения соответствия стандарту включают в себя ежегодное прохождение аудита, ежеквартальное сканирование сети на уязвимости и в некоторых случаях заполнение листа самооценки (Self Assessment Questionauire). Для выполнения аудита и ежеквартальных сканирований своих сетей компании должны привлекать стороннюю организацию, имеющую статус Qualified Security Assessor (для аудита) и Approved Scanning Vendor (для сканирования сети). Упомянутые статусы присваиваются советом PCI Security Standards Council; соответствующую информацию можно найти на сайте www.pcisecuritystandards.org.

Процедура аудита реализуется в несколько последовательных этапов: проверка документов и определение зоны контроля, оценка соответствия на месте, подготовка и распространение отчета и подготовка плана по устранению несоответствий. Зона контроля включает в себя все устройства и сетевые сегменты, в которых производится обработка или передача данных, содержащих информацию о держателях платежных карт, а также все сетевые сегменты и устройства, подключенные к перечисленным сегментам. Зона контроля может быть довольно обширной, особенно в случае, если внутренняя сеть компании не сегментирована и для отделения процессингового центра от остальной сети банка не используются внутренние межсетевые экраны.


Двенадцать основных требований стандарта PCI DSS

Как показывает практика, наиболее проблемными для компаний по количеству несоответствий являются требования 11, 2, 3,10,8 (в порядке убывания), в то же время выполнение требований 9, 4 и 7 обычно не вызывает трудностей, а требование 6 ко многим компаниям применить нельзя (они не занимаются разработкой программного обеспечения).

Требование 1. Должно быть обеспечено управление конфигурацией межсетевых экранов для защиты данных платежных карт.
Требование 2. Не должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчанию.
Требование 3. Должна быть обеспечена защита данных платежных карт при хранении.
Требование 4. Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользования.
Требование 5. Должно использоваться и регулярно обновляться антивирусное ПО.
Требование 6. Должна обеспечиваться безопасность при разработке и поддержке приложений.
Требование 7. Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостью.
Требование 8. Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор.
Требование 9. Физический доступ к данным платежных карт должен быть ограничен.
Требование 10. Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным платежных карт.
Требование 11. Должно выполняться регулярное тестирование систем и процессов обеспечения безопасности.
Требование 12. Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов.