Процессинговый центр United Card Service, принадлежащий «Компании объединенных кредитных карточек», получил сертификат на соответствие используемой в нем защиты требованиям стандарта международных платежных систем PCI DSS, которому в обязательном порядке должны соответствовать все процессинговые центры (см. «Стандарты безопасных платежей», Computerworld Россия, № 24, 2008). UCS имеет подключение к четырем платежным системам, однако больше 99% оборота составляют платежи по Visa и MasterCard (Diners Club и JCB не слишком популярны в России). Компания обрабатывает карты 80 банков-эмитентов.
Платежные системы Visa и MasterCard сейчас все более настойчиво требуют соблюдения требований PCI DSS, поэтому стандарт фактически является обязательным для процессинговых центров. Например, MasterCard лишает лицензии те центры, которые не соответствуют его требованиям. За транзакции, проведенные без лицензии, процессинговый центр должен выплатить платежной системе штраф в 15 тыс. долл., причем через месяц этот штраф может быть значительно увеличен. Visa использует для принуждения к соблюдению стандарта систему штрафов, которая аналогична MasterCard.На сегодняшний момент из российских компаний только UCS получила сертификат соответствия этим требованиям. Дело в том, что правила сертификации содержат лазейку: процесс сертификации на PCI DSS состоит из трех этапов: аудита, в процессе которого готовится план действий; реализации этого плана; повторной проверки. Если у процессингового центра есть хотя бы план действий по приведению системы в соответствие, то на его реализацию отводится три года, при этом лицензия не отбирается.
На настоящий момент все российские процессинговые центры прошли первичный аудит и сформировали план действий. Дальше других, по заявлению Игоря Ляпунова, директора центра информационной безопасности «Инфосистем Джет», который проводил процедуру сертификации, на сегодняшний момент из российских компаний продвинулась UCS. Она уже получила сертификат соответствия.
У компании изначально уровень защиты был достаточно высоким — первоначальный аудит показал соответствие более половине требований стандарта. В апреле прошлого года компания начала с «Инфосистемами Джет» проект, в результате которого команда из 30 человек привела информационную систему UCS в соответствие с требованиями стандарта PCI DSS. «Внедренное решение не позволяет сотрудникам процессингового центра получить доступ к данным клиентов», — заверил Ляпунов.
В частности, в процессе реализации проекта в UCS было установлено оборудование для защиты периметра сети от вредоносных программ, атак и спама, а также для предотвращения DDoS-нападений. Кроме того, UCS установила несколько внутренних систем защиты, которые решают следующие задачи: мониторинг событий информационной безопасности, контроль целостности документов на всех этапах работы с информацией, управление доступом пользователей к базам данных. После внедрения всех указанных технологий в январе 2009 года был проведен повторный аудит системы, причем на соответствие новой версии стандарта PCI DSS 1.2. По результатам проверок был выдан сертификат соответствия, который нужно будет через год подтвердить.
Следует отметить, что сертификация процессинговых центров — только первый этап защиты данных пользователей в платежных системах. Дело в том, что больше всего случаев утечки данных зафиксировано не в центрах и банках, а в торгово-сервисных предприятиях — магазинах и платежных терминалах, где принимают и обрабатывают пластиковые карты, хотя масштабы этих утечек меньше.
Поэтому разработчики стандарта рассчитывают распространить его на все компоненты платежной системы, по которой передаются данные и которая также включает и операторов связи, и платежные терминалы, и магазины, принимающие карты, и Internet-магазины.
Для платежных приложений, используемых торгово-сервисными предприятиями, был разработан специальный стандарт PA DSS. На соответствие ему должны сертифицироваться программы и оборудование, обрабатывающие данные пластиковых карт. Однако этот стандарт еще новый, и в России на соответствие ему пока не проверяют. Тем не менее в США Visa штрафует процессинговые центры на 50 тыс. долл. за каждого работающего с ним торговца, не прошедшего сертификацию по стандарту. Со временем эти меры будут применяться и к российским продавцам.