По словам Боба Руссо, генерального менеджера совета по стандартам безопасности PCI Security Standards Council, существенных изменений по сравнению с действующим стандартом DSS 1.2 сюда вносить не планируется. Однако спецификации DSS 2.0 должны конкретизировать требования, предъявляемые отраслью платежных карт к корпоративным системам безопасности.
Наиболее интересными представляются рекомендации, связанные с оценкой PCI границ области хранения конфиденциальных данных держателей карт и выделением внутри сети сегментов, которые должны соответствовать требованиям стандарта безопасности данных PCI. Сегодня основная трудность заключается в том, что компании, отвечающие за управление данными держателей карт, не имеют четкого представления о том, где на самом деле должны располагаться ресурсы.
«Нам говорят, что данные иногда находят в самых отдаленных уголках сети, причем никто не имеет никакого понятия о том, как они там очутились, — заметил Руссо. — Нужна методология, регламентирующая процедуру поиска данных держателей карт, а также рекомендации, в которых были бы прописаны технологии предотвращения потери данных и перечислены инструменты, помогающие эти данные отыскать».
Дискуссия по вопросам виртуализации ведется уже много лет. В этой связи возникает вопрос, как соотносится раздел DSS 2.2.1, призывающий к выполнению каждым сервером только одной, главной функции, с виртуализацией данных PCI.
«Конечно, мы не собираемся запрещать использовать виртуальные среды, — сообщил Руссо. — Хотя стандарт PCI DSS 2.0 и должен внести определенную ясность в вопросы виртуализации, более глубокая дискуссия по этому поводу развернется при обсуждении отдельного документа, который должен быть принят в будущем году.
Еще один важный момент — это сквозное шифрование данных держателей карт. Необходимо принять эффективные меры к отражению кибератак, направленных на массовое хищение реквизитов платежных карт.
В то же время совет пока не планирует проводить какие-то границы, переступать за которые будет запрещено.
«Никому никаких рекомендаций мы давать не собираемся, — заявил Руссо. — Если вы введете у себя дополнительные уровни безопасности — хорошо».