Проекты PCI DSS: как совместить требования бизнеса и регуляторов?
В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Проекты PCI DSS: как совместить требования бизнеса и регуляторов?
Требования регуляторов зачастую становятся теми подводными камнями, которые встают на пути корабля бизнес-идеи. Существует ли способ успешно обойти эти препятствия без последствий?
Сергей Шустиков
Генеральный директор компании
Deiteriy, CISA, PCI QSA, PCI PA-QSA
Генеральный директор компании
Deiteriy, CISA, PCI QSA, PCI PA-QSA
Любой рынок в своем развитии проходит путь от свободы творчества к той или иной форме регулирования, осуществляемого государством или негосударственными организациями. Целью регулирования обычно становится защита интересов, находящихся в противоречии с извлечением прибыли, и по этой причине не являющихся предметом заботы со стороны бизнеса. Не является исключением и платежная индустрия. Вставая на защиту интересов держателей платежных карт, международные платежные системы предъявляют к участникам платежного бизнеса требования по обеспечению безопасности данных при осуществлении транзакций.
Соответствие PCI DSS
Международный стандарт безопасности данных индустрии платежных карт (PCI DSS) распространяется на торгово-сервисные предприятия, банки, процессинговые центры, платежные шлюзы и иные организации, вовлеченные в процесс оплаты по картам. Соответствие этому стандарту является необходимым условием ведения бизнеса, связанного с карточными платежами. Правила подтверждения соответствия PCI DSS устанавливают международные платежные системы, наиболее известными из которых являются Visa и MasterCard. Кроме того, для торгово-сервисных предприятий эти правила могут изменять банки-эквайеры.
Дата-центр, сертифицированный по PCI DSS имеет конкурентное преимущество, предлагая свои услуги по размещению физической или виртуальной инфраструктуры предприятиям электронной коммерции Ведь сертифицированный по PCI DSS интернет-магазин не может пользоваться несертифицированным хостингом. Также известны ситуации, когда выполнение требований международных платежных систем является предметом репутации и способом обеспечения доверия со стороны партнеров и клиентов. Подобные ситуации являются приятным исключением из рассмотренного противоречия требований бизнеса и регуляторов и встречаются не часто
Важность вопроса соответствия требованиям международного регулятора заставляет организацию мобилизовать значительные ресурсы на его достижение, и в первую очередь речь идет о кадровом ресурсе. Сертификат соответствия, выдаваемый QSA-аудитором, становится для организации достойной наградой.
Рассмотрим, что происходит далее в организации, только что внедрившей PCI DSS, где процессы ИБ находятся еще в самом начале своего развития и не достигли достаточной зрелости. Добившись определенного уровня и получив от аудитора свидетельство соответствия требованиям регулятора, бизнес испытывает естественное желание направить мобилизованные ресурсы туда, где находятся его прямые интересы. Но только что внедренные процессы ИБ уже требуют внимания и ресурсов, поскольку требования регулятора обязывают выполнять рутинную работу.
Обнаруживается противоречие между требованиями регулятора, устанавливающими необходимость выполнения регулярных процедур ИБ, и требованиями бизнеса о максимизации внимания к основной деятельности.
Разрешение противоречий
На помощь в таком случае может прийти консультант, профессионально знакомый с тонкостями поддержки соответствия стандарту PCI DSS после сертификации. Довольно часто QSA-аудиторы, выполнившие сертификацию, предлагают своим клиентам ту или иную форму сопровождения сертифицируемой инфраструктуры. Зная большинство подводных камней, поджидающих бизнес на пути, регулируемом внешними требованиями, консультант может не только подсказать методы повышения эффективности вспомогательных процессов, но и взять на себя часть рутинной работы.
Логика в этом достаточно простая. Работа консультанта по внедрению PCI DSS заключается в снятии с плеч бизнеса вопросов, связанных с достижением соответствия требованиям регулятора. Поэтому поддержанием соответствия в той или иной форме тоже может заниматься внешний консультант.
Форма участия внешнего консультанта может быть различной. В минимальном варианте это регулярный мониторинг того, что выполнение всех процессов И Б находится в норме. Более глубокое участие предполагает вовлечение внешней компании, специализирующейся на услугах по ИБ, в выполнение ежедневной рутины. Например, это может быть согласование QSA-консультантами изменений в информационной инфраструктуре сертифицированной организации или включение внешних специалистов во внутренний цикл разработки ПО на этапах анализа программного кода и тестирования безопасности новых модулей.
Кроме того, немаловажную роль играет постоянная актуализация знаний в области регулирования. Требования регуляторов платежной индустрии сегодня изменяются очень активно, особенно если принять во внимание не только PCI DSS, но и требования российского законодательства о национальной платежной системе.
Иногда можно наблюдать ситуацию, когда выполнение требований регулятора не находится в классическом противоречии с требованиями бизнеса, а, наоборот, способствует его продвижению. Это характерно для компаний, отдельные направления бизнеса которых либо невозможны, либо ограничены в возможностях без выполнения регулятивных норм.
Управление соответствием, как один из трех базовых процессов обеспечения ИБ наряду с управлением рисками и управлением требованиями бизнеса, направлено на взаимодействие с изменяющейся средой внешнего регулирования. Эта особенность позволяет использовать специализированные ресурсы внешних консультантов для гармонизации требований регуляторов и бизнеса.
Комментарий эксперта
Игорь Мотылев
Специалист департамента информационной безопасности группы "Астерос"
Процесс внедрения стандарта PCI DSS необходим, поскольку защищает не только интересы отдельных держателей платежных карт, но и банковской отрасли в целом. К сожалению, сегодня не все банки пришли к осознанию необходимости соответствия стандарту PCI DSS и вытекающих из этого преимуществ. Это объясняется тем, что внедрение стандарта требует максимального вовлечения в процесс специалистов компании-заказчика, частичной модернизации технологической инфраструктуры и бизнес-процессов в компании.
Однако популяризация внедрения стандарта в России идет полным ходом. Финансовые организации, достигшие определенного уровня зрелости бизнеса, дорожат стоимостью бренда и, как правило, хорошо осознают репутационные и финансовые последствия недостаточного внимания к вопросам обеспечения информационной безопасности. Кроме того, они понимают выгоды от сертификации по стандарту PCI DSS, среди которых, помимо защиты деловой репутации, можно отметить: получение права на внедрение дополнительных удобных сервисов от Visa и MasterCard для своих клиентов, а также смягчение неприятных последствий и разделение финансовой ответственности с QSA-аудитором при утечке данных или мошеннических операциях с помощью платежных карт. Банк или процессинговый центр, не имеющие сертификата PCI DSS, самостоятельно несут полную ответственность за произошедший инцидент в отличие от сертифицированной организации.
В нашей стране Банк России изучает опыт международных платежных систем в части выполнения и требований защиты информации при переводе денежных средств с использованием платежных карт. Подтверждением является то, что Банк России инициировал перевод PCI DSS и сопутствующих документов на русский язык. Специалисты компании "Астерос Информационная Безопасность" приняли самое активное участие в этой работе, организованной НП "АБИСС". В настоящий момент все работы завершены, и официальные документы размещены на сайте PCI SSC (https://www.pcisecuritystandards.org/).
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013
