Участникам индустрии платежных карт предстоит ежеквартально проводить сканирование своих сетей на предмет проверки их уязвимости.
До конца текущего года будет введена в действие система санкций к компаниям, не прошедшим сертификацию на соответствие требованиям стандарта IT-безопасности PCI DSS (Payment Card Industry Data Security Standard). Размер штрафов может достигать $500 тыс. за один инцидент информационной безопасности, если данные поставлены под угрозу и компания-клиент не соответствует требованиям стандарта. В наихудшем случае фирма может потерять возможность принимать в качестве средства платежа платежные карты.
О чем идет речь? PCI DSS – глобальный стандарт, под действие которого подпадают все компании (банки, компании-клиенты, процессинговые центры), занимающиеся обработкой, передачей или хранением информации о платежных картах и их владельцах.
Поводом для создания данного отраслевого стандарта послужило учащение случаев кражи конфиденциальной информации о держателях платежных карт. При этом потери несут все основные участники платежной системы, финансовые – клиент, чья информация была украдена, имиджевые – банк и платежная система.
В сентябре 2006 г. пять ведущих платежных систем (American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International) выступили с совместным заявлением о создании независимого совета для координации работы по развитию единого стандарта безопасности данных индустрии платежных карт (Payment Card Industry – PCI) с целью усовершенствования защиты транзакций. Стандарт предусматривает комплексный подход к обеспечению контроля информационной безопасности в компании. В нем определены требования к принципам управления информационной безопасностью, политикам, процедурам, сетевой архитектуре, программному обеспечению и другим критическим аспектам информационной системы, в которых циркулируют и хранятся данные кредитных карт.
Что же заставляет компании пройти сертификацию на соответствие требованиям стандарта PCI DSS? Основная причина – безусловное требование платежных систем, которые входят в PCI Security Standards Council (PCI SSC).
Охват проекта по аудиту информационной системы определен в стандарте PCI DSS и включает в себя шесть областей:
- построение и сопровождение защищенной сети передачи данных;
- защита данных владельцев карт;
- поддержка программы управления уязвимостями;
- реализация мер по строгому контролю доступа к информации;
- регулярный мониторинг и тестирование сети на предмет ее защищенности;
- поддержка политики информационной безопасности.
Аудит проводится специалистами сертифицированной компании, обладающей статусом QSA (Qualified Security Assessor). Процесс сертификации разбивается на три этапа. На первом проводится предварительный аудит, в рамках которого выявляются уязвимости информационной системы компании, вырабатываются рекомендации для приведения системы в соответствие стандарту. Дополнительно может быть проведен тест на возможность несанкционированного проникновения злоумышленника в информационную систему извне. На втором этапе клиент реализует проекты по устранению несоответствий. Это может занять от нескольких дней до нескольких месяцев, в зависимости от текущего уровня информационной безопасности компании. На заключительном этапе проводится итоговый сертификационный аудит. Его результатом является подписанный QSA отчет, который направляется в PCI SSC. Рассмотрев этот отчет, совет принимает решение о выдаче сертификата соответствия.
В Украине, к сожалению, сегодня нет организаций со статусом QSA. Компании вынуждены приглашать иностранных специалистов, что влечет за собой дополнительные финансовые расходы. На практике после проведения предварительного аудита фирма остается один на один с перечнем найденных несоответствий. Решением проблемы может быть приглашение внешнего консультанта для разработки и реализации комплексной программы действий по устранению обнаруженных несоответствий стандарту PCI DSS. Данная программа состоит из перечня проектов, которые будут связаны технологично. Она учитывает требования стандарта и внутреннюю корпоративную программу развития информационной системы компании.