Компания «Информзащита» провела конференцию «PCI DSS: Информационная безопасность в индустрии платежных карт». Мероприятие собрало более 170 участников, в числе которых были руководители и специалисты процессинговых центров, служб безопасности банков и торгово-сервисных организаций. Сотрудники «Информзащиты» представили обзор стандарта PCI DSS (Payment Card Industry Data Security Standard), требований к его внедрению, рассказали о процедуре проведения аудита и поделились своим опытом, касающимся типовых несоответствий и основных трудностей, с которыми сталкиваются компании при выполнении требований стандарта. В конференции также принял участие представитель Visa Мани Туласи, который рассказал о существующих требованиях платежной системы Visa к применению стандартов PCI DSS и PA DSS (Payment Applications Data Security Standard) и контроле соответствия требованиям данных стандартов в платежной системе Visa.

Первая редакция стандарта PCI DSS была разработана в 2004 году на основе требований к безопасности данных платежных систем Visa, Master Card, American Express, Discover Card и JCB.

Вначале международные платежные системы требовали от своих участников и торгово-сервисных предприятий обеспечить соответствие стандарту только на территории США и Западной Европы, применяя штрафные санкции за невыполнение данных требований. Для других регионов эти требования также были обязательными, но никаких санкций за их невыполнение не предусматривалось.

В сентябре 2006 года для развития и продвижения стандарта был создан специальный совет по стандартам безопасности — PCI Security Standards Council, в который вошли представители перечисленных платежных систем. И с сентября 2006 года санкции за непрохождение аудита по стандарту распространились на регион CEMEA, в который входит и Россия, что послужило стимулом для внедрения PCI DSS российскими банками, процессинговыми центрами и торгово-сервисными организациями.

Действие PCI DSS распространяется на все организации, работающие с международными платежными системами, которые передают, обрабатывают и хранят данные держателей карт. В зависимости от числа обрабатываемых транзакций в год компании присваивается определенный уровень с соответствующим набором требований по безопасности. Процедуры подтверждения соответствия стандарту включают в себя ежегодное прохождение аудита, ежеквартальное сканирование сети на уязвимости и в некоторых случаях — заполнение листа самооценки (Self Assessment Questionauire). Для выполнения аудита и ежеквартальных сканирований своих сетей компании должны привлекать стороннюю организацию, имеющую статус Qualified Security Assessor (для аудита) и Approved Scanning Vendor (для сканирования сети). Упомянутые статусы присваиваются советом PCI Security Standards Council; соответствующую информацию можно найти на сайте http://www.pcisecuritystandards.org/.


Основные требования стандарта PCI DSS

Как показывает практика, наиболее проблемными для компаний по количеству несоответствий являются требования 11, 2, 3, 10, 8 (в порядке убывания), в то же время выполнение требований 9, 4 и 7 обычно не вызывает трудностей, а требование 6 ко многим компаниям применить нельзя (они не занимаются разработкой ПО).

Требование 1. Должно быть обеспечено управление конфигурацией межсетевых экранов для защиты данных платежных карт.
Требование 2. Не должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчанию.
Требование 3. Должна быть обеспечена защита данных платежных карт при хранении.
Требование 4. Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользования.
Требование 5. Должно использоваться и регулярно обновляться антивирусное ПО.
Требование 6. Должна обеспечиваться безопасность при разработке и поддержке приложений.
Требование 7. Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостью.
Требование 8. Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор.
Требование 9. Физический доступ к данным платежных карт должен быть ограничен.
Требование 10. Должен контролироваться любой доступ к сетевым ресурсам и данным платежных карт.
Требование 11. Должно выполняться регулярное тестирование систем и процессов обеспечения безопасности.
Требование 12. Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов.