Блог

PCI DSS – что нас ждет в ближайшем будущем

Автор: Евгений Безгодов

По материалам интервью, опубликованного в журнале «ПЛАС» № 2 (189) 2013

Предлагаем вниманию читателей ставшее традиционным интервью с исполнительным директором QSA-компании Deiteriy Евгением Безгодовым, на этот раз приуроченное к пятому юбилейному уральскому форуму «Информационная безопасность банков». Вместе с Евгением мы подведем итоги прошедшего года и обсудим перспективы года предстоящего.

ПЛАС: Евгений, ровно год назад в интервью нашему журналу Вы обозначили основные тренды развития безопасности платежных карт в России и поделились своими ожиданиями на год вперед. Скажите, оправдались ли Ваши ожидания?

Е. Безгодов: Прошедший год показал, что тенденция устойчивого роста рынка карточных платежей сохранилась и меняться пока не намерена. Одновременно мы видим, что на этот сегмент экономики обратили внимание наши государственные регуляторы, и это может явиться тем катализатором, который выведет индустрию на новый уровень. Что касается наших прогнозов, то в целом они подтвердились.

Как мы и ожидали, количество поставщиков коробочных платежных решений, включивших процедуру сертификации по стандарту PA-DSS в стандартный жизненный цикл программного продукта, заметно увеличилось. По пресс-релизам можно судить о том, что сертифицированное по этому стандарту приложение, работающее с платежными картами, постепенно становится для России нормой. Особенно это заметно в сегменте приложений для стационарных POS-терминалов, например, машин, продающих билеты, или вендинговых автоматов.

Основной наш прогноз касался того, что волна PCI DSS сертификации наконец охватит торгово-сервисные предприятия. Так оно и произошло: все больше банков и платежных шлюзов требуют от подключающихся к ним мерчантов подтверждения соответствия стандарту PCI DSS. В основном это торгово-сервисные предприятия 3–4 уровня по классификации Visa и MasterCard. Платежные инфраструктуры у этих компаний небольшие, работы по приведению их в соответствие PCI DSS принципиальным образом отличаются от того масштаба, с которым мы работаем в банках или процессингах. Специально для таких малых с точки зрения PCI DSS организаций мы вывели на рынок облегченный вариант проекта по приведению их в соответствие стандарту и выполнению сертификационных проверок. Для них подтверждение соответствия — это, в основном, заполнение листа самооценки SAQ после успешного прохождения ASV-сканирования.

ПЛАС: Какими принципиальными отличиями, кроме объема работ, обладают проекты по приведению инфраструктуры в соответствие PCI DSS в торгово-сервисных предприятиях, например, по сравнению с проектами в банках?

Е. Безгодов: Основным отличием от банка является то, что в торгово-сервисном предприятии 3 и 4 уровня по классификации Visa и MasterCard, карточные бизнес-процессы на порядок проще. Чаще всего это прием карточных данных на сайте магазина, если мы говорим об электронной коммерции, минимальная аналитическая обработка и отправка этих данных в банк или платежный шлюз. Для такого варианта подходит лист самооценки (Self-Assessment Questionnaire) SAQ типа «C», к нему не применимы требования о защите хранимых карточных данных, поскольку он их не хранит, и проект значительно упрощается.

Другая особенность заключается в том, что опять же в отличие от банка, организационная структура такого небольшого магазина не предполагает наличия в штате специалистов по информационной безопасности. В лучшем случае функции по защите карточных данных возложены на ИТ-отдел. Наши консультанты в этих проектах становятся в прямом смысле учителями, которые не только помогают разработать безопасное решение, но и обучают сотрудников компании необходимым методам обеспечения информационной безопасности. В итоге консультант и его клиент начинают говорить на одном языке, лучше понимают друг друга, и это положительно сказывается на сроках. Такая практика настолько хорошо себя зарекомендовала, что теперь мы включаем проведение обучающих семинаров перед началом работ в каждый консультационный проект, как для торгово-сервисных предприятий, так и для банков.

Что касается обучения, то в прошедшем году мы запустили проект PCI DSS Training и теперь регулярно проводим обучающие семинары для специалистов по безопасности, ИТ-директоров, системных администраторов — в общем, всех, кого касаются вопросы соответствия PCI DSS. В 2012 году мы провели пять семинаров, обучили 85 человек из 59 компаний. Это, на мой взгляд, достаточно красноречивый показатель уровня интереса к стандарту в нашей стране. В 2013 году мы будем проводить такое обучение ежеквартально, очередной семинар уже намечен на март.

ПЛАС: Что заставляет малые торгово-сервисные предприятия 3 и 4 уровня приводить системы в порядок и подтверждать соответствие PCI DSS?

Е. Безгодов: Многие магазины изначально и понятия не имеют о том, что означает аббревиатура PCI DSS, пока их не спросит об этом банк-эквайер. Однако рынок эквайринга в России можно охарактеризовать как конкурентный, и до недавнего времени эквайеры не очень торопились пугать магазины требованиями по защите карточных данных. Пришло время, и международные платежные системы стали уделять этому вопросу больше внимания, в то же время риски эквайеров, связанные с утечками данных, стали заметными. Вследствие этих причин банки и независимые процессинги начали спрашивать у торгово-сервисных предприятий подтверждения соответствия PCI DSS.

Естественно, что попадаются мерчанты, не желающие выполнять требования стандарта в силу тех или иных причин. Такой мерчант может сменить эквайера на того, который пока не требует соответствия PCI DSS. У поступающего таким образом мерчанта может сложиться иллюзия того, что вопрос решен. Однако есть целых три нюанса, которые позволяют считать подобные методы напрасной тратой времени, не говоря уже о сохраняющихся рисках для конечных клиентов. Ведь именно небольшим торгово-сервисным предприятиям мы каждый день доверяем наши карточки и надеемся на их безопасную обработку. Нюанс первый: риски для эквайера никуда не денутся, и покроет он их, скорее всего, повышенной комиссией, взимаемой с мерчанта. Наоборот, известно, что для мерчантов, подтвердивших соответствие PCI DSS, многие эквайеры снижают ставки по комиссии, причем эта практика уже пришла в Россию. Нюанс второй: все больше эквайеров включают необходимость соответствия PCI DSS в перечень формальных требований, которые необходимо выполнить до подключения. Нюанс третий: вице-президент по безопасности MasterCard Worldwide Майкл Грин, упоминая об этом явлении, отметил, что факты перемещения мерчантов между эквайерами отслеживаются международными платёжными системами и являются предметом анализа. При чересчур старательных попытках мерчанта избежать подобным образом выполнения требований PCI DSS у MasterCard могут возникнуть серьезные вопросы как к самому мерчанту, так и к его эквайеру. Нет оснований полагать, что у Visa подход чем-то отличается, коллеги из банков-принципалов подтвердят.

При этом, безусловно, нам знакомы мерчанты, которые добровольно внедряют необходимые по стандарту меры защиты. Отмечу, что по мере повышения уровня профессиональной подготовки отраслевых ИТ-специалистов таких торгово-сервисных предприятий становится все больше. Мне очень приятно было услышать от технического директора одного Интернет-магазина такие слова: «Ладно требования банка, главное — ответственность за безопасность данных на мне лежит, поэтому мы будем внедрять средства защиты».

ПЛАС: Помнится, год назад Вы говорили, что число платежных шлюзов и прочих поставщиков специализированных услуг в деле обработки карточных транзакций будет расти. Оправдались ли эти ожидания?

Е. Безгодов: По прошествии года можно сказать, что эти ожидания оправдались. При этом новые игроки рынка платежных услуг стараются найти для себя конкурентное преимущество в специализации. Например, большое внимание стало уделяться мобильным POS-решениям, когда при помощи считывателя платежных карт, подключенного к аудио-разъему, вы можете превратить в POS-терминал любой современный гаджет с операционной системой Google Android или Apple iOS. Это позволяет радикально снизить вложения торгово-сервисных предприятий в приобретение POS-решения, что очень существенно для малого бизнеса. На рынок вышли поставщики услуг, предоставляющие комплексное решение — считыватель, мобильное приложение для iOS или Android и подключение к процессинговому центру.

ПЛАС: Существуют ли особенности приведения в соответствие PCI DSS описанной схемы со считывателем карты, подключенным к мобильному устройству?

Е. Безгодов: Особенностей здесь действительно хватает, и связаны они в основном с процессом передачи карточных данных через мобильное устройство — смартфон или планшет. Дело в том, что на сегодняшний день мобильные операционные системы не в полной мере удовлетворяют требованиям безопасности и нет возможности привести их в соответствие PCI DSS. Сразу скажу, что по информации, полученной от Совета PCI SSC, в его структуре создана рабочая группа, включающая представителей компаний Apple, Google и Microsoft, целью которой является выработка требований безопасности к архитектуре мобильных операционных систем. Уже достигнута договоренность, что новые версии этих платформ будут иметь возможность усиления защиты и будут способны выполнить требования PCI DSS. Однако до тех пор пользователям надо решать задачу выноса мобильного устройства за рамки области аудита.

Это можно сделать, применив технологию шифрования по схеме «точка-точка» (Point-to-Point Encryption, P2PE). Считыватель шифрует карточные данные и передает их в мобильное устройство уже в зашифрованном виде, а устройство передает их на сервер процессинга. Ключами шифрования и расшифрования обладают только непосредственно считыватель и процессинговый центр. Таким образом, мобильное устройство не имеет ключа расшифрования и не может получить доступ к карточным данным. Для подобных P2PE решений Совет PCI SSC разработал программу сертификации по аналогии с сертификацией платежных приложений по PA-DSS. Пока еще эта программа находится на начальном этапе своего становления, и перечень сертифицированных P2PE решений на сайте Совета PCI SSC пока еще не содержит ни одной записи. Сейчас безопасность подобных схем проверяется в ходе аудита на соответствие торгово-сервисного предприятия стандарту PCI DSS, и вывод о возможности вынесения мобильного устройства за пределы области аудита делает QSA-аудитор.

ПЛАС: Какова сейчас ситуация с наличием в России ЦОД, сертифицированных по стандарту PCI DSS? В прошлом году Вы говорили, что такие площадки стали появляться в нашей стране.

Е. Безгодов: Количество российских дата-центров, сертифицированных по стандарту PCI DSS, продолжает увеличиваться. В прошедшем году мы сертифицировали ЦОД в Санкт-Петербурге. Это первая на северо-западе России хостинг-площадка, соответствующая PCI DSS. Есть информация, что еще несколько российских дата-центов начали проекты по сертификации. Ситуация с физическими площадками улучшается, чего пока не скажешь о виртуальном хостинге. Даже те дата-центры, которые предлагают клиентам аренду виртуальных серверов, пока сертифицировали только услугу физического размещения оборудования клиентов в машинных залах. При этом многие малые торгово-сервисные предприятия испытывают неудовлетворенную потребность именно в аренде виртуальных серверов и развертывании инфраструктуры в облаке, расположенном на территории России.

ПЛАС: Какие прогнозы на следующий год уже можно сделать? Что нас ждет в будущем?

Е. Безгодов: Во-первых, как я уже говорил, отечественные регуляторы обратили внимание на безопасность платежей. Принятие закона о национальной платежной системе само по себе говорит о многом. Банк России начал активное взаимодействие с Советом PCI SSC по вопросу официального перевода всего семейства стандартов на русский язык. В рамках сообщества АБИСС создана рабочая группа по согласованию перевода стандарта, в неё входит, в том числе, и ваш покорный слуга. Есть перспектива, что в этом году Советом PCI SSC будет принята официальная русская версия стандартов. Это ускорит процесс гармонизации стандартов PCI с нормативными документами по безопасности НПС.

Развитие стандартов продолжается, с основными направлениями мы ознакомились в октябре прошедшего года в Дублине на ежегодной конференции PCI SSC Community Meeting 2012. Такими направлениями станут обеспечение безопасности при взаимодействии с третьими сторонами и поддержка соответствия PCI DSS. Следующей осенью Совет планирует не две, как обычно, а целых три сессии Community Meeting — в США, Европе и Малайзии. Региональная экспансия PCI DSS продолжается, и Совет готовится взяться за самый сложный в деле безопасности платежных транзакций регион — юго-восточную Азию.

В 2013 году завершается очередной трехлетний цикл развития стандартов PCI DSS и PCI PA-DSS. В течение этого периода Совет собирал обратную связь от индустрии платежных карт, анализировал её и готовил предложения по совершенствованию документов. Таким образом, осенью 2013 нас ждет выход новой версии стандарта, но действующая версия 2.0 будет актуальна еще до конца 2014 года. Изменения не будут носить радикального характера, в основном это будут уточнения и дополнения к существующему тексту.

ПЛАС: Вы сказали, что в этом году Совет обратит внимание на вопросы поддержки соответствия?

Е. Безгодов: В самом деле, поддерживать соответствие требованиям стандарта PCI DSS ничуть не проще, чем достигнуть этого соответствия. Отличие только в том, что достижение соответствия — это проект, оканчивающийся конкретным результатом, а поддержка — это ежедневная систематическая работа, не ограниченная во времени. Это в полной мере отвечает принятым во всем мире практикам обеспечения информационной безопасности, например, стандарту ISO 27001 или нашему стандарту Банка России.

Для того, чтобы помочь нашим клиентам в этом непростом деле — поддержке соответствия, мы сейчас выводим на рынок специализированную услугу для тех, кто уже достиг соответствия PCI DSS. Мы берем на себя полное или частичное выполнение рутинной работы по контролю и поддержанию защищенности информационной инфраструктуры клиента. Особенно актуальна эта услуга для малых и средних компаний, где часто не бывает своего выделенного подразделения или сотрудника, ответственного за обеспечение информационной безопасности. Это тот самый аутсорсинг безопасности, о котором все много говорили раньше, но появляться он начал только сейчас.

0

Добавить комментарий