В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
PCI DSS существует более десяти лет, за это время изменилась организационная структура его поддержки и управления. Был образован Совет по стандартам безопасности данных индустрии платежных карт, в который входит все больше участников рынка, сформирован институт независимых аудиторов информационной безопасности, уполномоченных проводить проверки на соответствие стандарту, возникла целая плеяда сопутствующих технических стандартов (например, PADSS, входящий в набор стандартов PCI), разработаны методики проверки соответствия, адаптированные под нужды отдельных групп его потребителей (например, формы самостоятельной оценки для различных торгово-сервисных предприятий). При этом платежные системы формируют собственные требования по способам подтверждения соответствия стандарту.
Как видим, работа по управлению рисками информационной безопасности в индустрии безналичных платежей давно вышла за рамки одного документа. Это означает, что участникам платежных процессов – пользователям стандарта – необходимо обращать внимание не только на обновление отдельного стандарта, но и на изменения в сопутствующих документах, требованиях платежных систем и регламентах проверки соответствия.
Понимание требований, предъявляемых платежными системами по демонстрации соответствия PCI DSS, а также доступных способов проведения проверки на соответствие может позволить оптимизировать расходы, ведь далеко не всегда требуется привлекать независимого аудитора, поскольку можно обойтись и самостоятельной оценкой.
Также необходимо помнить, что стандарт, как и вся деятельность по защите информации, не является панацеей, призванной решить все проблемы безопасности разом. Он является важным элементом комплексного стратегического подхода по управлению финансовыми рисками, который предусматривает в том числе применение защищенных технологий, использование механизмов обнаружения мошеннической деятельности, оперативного реагирования, финансовую ответственность за несанкционированные транзакции и многое другое.
Таким образом, PCI DSS важно рассматривать в контексте с другими мерами и стандартами по управлению платежными рисками, включая мониторинг транзакций, применение технологий EMV и 3D Secure, контроль деятельности торговых точек и др. Комплексное применение всех контрольных механизмов обеспечит наиболее эффективное соотношение уровня безопасности, стоимости и удобства использования платежных технологий с учетом современных потребностей конечного пользователя.
С этой точки зрения важно различать два понятия: "соответствие" и "валидация". Если первое подразумевает фактическое состояние систем и процессов в организации, при котором выполняются требования PCI DSS, то второе предусматривает метод или способ подтверждения (или демонстрации, проверки) такого соответствия. Иными словами, валидация (сертификация) подобна измерению температуры – дает возможность оценить состояние человека в конкретный момент времени. Ежегодная сертификация на соответствие стандарту является характерным примером регулярного "измерения температуры" с целью информированного управления рисками компрометации данных.
При этом наличие сертификата об успешном прохождении аудита на соответствие стандарту не означает, что системы и процессы автоматически соответствуют заявленным требованиям в течение всего года, а по истечении этого времени внезапно потеряют это свойство. В действительности системы или процессы могут перестать соответствовать стандарту в ходе обычного изменения систем без учета требований информационной безопасности.
Так, в результате расследований различных случаев утечки платежных данных, о которых широко говорилось в прессе, независимые эксперты выявляли несоответствие систем требованиям PCI DSS в момент компрометации. Таким образом, помимо успешной валидации необходимо предусмотреть наличие непрерывного процесса по поддержке соответствия на протяжении всего жизненного цикла систем.
На сегодняшний день существует несколько механизмов подтверждения на соответствие стандарту (валидации):
Статусы QSA и QSV присваиваются Советом по стандартам безопасности данных индустрии платежных карт (PCI SSC), список таких организаций опубликован на его сайте https:// www.pcisecuritystandards.org/. Там же размещены упрощенные формы самостоятельной оценки на соответствие стандарту.
Разделяя понятия соответствия и валидации, платежные системы могут предъявлять различные требования к участникам. Так, согласно правилам Visa, соответствовать стандарту должны все организации, занимающиеся обработкой платежных данных. В то же время в зависимости от степени риска, связанного с деятельностью участников платежного процесса, требования Visa по валидации соответствия PCI DSS отличаются.
Четкое понимание требований платежной системы, применяемых к конкретной организации, а также возможностей по снижению этих требований поможет наиболее эффективно подойти к процессу валидации (проверки соответствия). Ведь привлечение независимого аудитора требуется далеко не всегда.
Помочь в этом может и правильный скоупинг (scoping), т.е. точное определение области действия стандарта в организации. Далеко не все системы или процессы обработки информации в компании используют платежные "карточные" данные, следовательно, нет необходимости включать их в область применения стандарта, а соответственно, и в процесс проверки соответствия.
При этом эффективным подходом к защите информации является отказ от использования платежных данных в процессах и системах, если в них нет острой необходимости. Такой результат может достигаться как простым маскированием номеров карт, так и устранением сведений о картах из процесса обработки данных.
Хорошим примером могут служить системы интернет-банка, в которых нет необходимости демонстрировать клиенту полный номер карты, т.к. маскированного номера в большинстве случаев достаточно, чтобы клиент смог однозначно идентифицировать одну из своих карт. При этом использование карточных данных в таких системах повышает риски компрометации и автоматически распространяет на них действие стандарта.
В целом, при рациональном подходе к планированию процессов использования данных платежных карт ресурсы, необходимые для выполнения требований стандарта, могут быть существенным образом оптимизированы. А при надлежащем построении процесса поддержания соответствия стандарту процесс валидации проходит намного проще – не возникает необходимость в авральном режиме наводить порядок, нарушая бизнес-процессы и проводя реконфигурации систем.
В любом случае, использование ресурсов, которые затрачиваются на постоянную работу по совершенствованию систем защиты информации, обусловлено существующими вызовами современного мира и обеспечивает защиту финансовых интересов и репутации участников и пользователей платежной индустрии.
В свою очередь, правильное применение стандарта совместно с другими инструментами управления рисками позволяет оптимально расходовать эти ресурсы с максимальным положительным эффектом.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2015