Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Настало ли время соответствовать требованиям Payment Card Industry Data Security Standard?

Настало ли время соответствовать требованиям Payment Card Industry Data Security Standard?

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Настало ли время соответствовать требованиям Payment Card Industry Data Security Standard?

Эльман Бейбутов
ведущий эксперт
центра информационной безопасности
компании "Инфосистемы Джет"

В   данной   статье хотелось бы обратить внимание на основные результаты, с которыми банки и процессинго-вые центры подошли к 30 сентября 2010 г. – cроку, объявленному как дедлайн для большинства VisaNet Processors (VNP) по приведению платежных систем в соответствие требованиям PCI DSS. VNP- и QSA-компании региона CEMEA узнали об этой дате полтора года назад через рассылки Member Letters и из писем представителей Visa. Что было сделано участниками рынка PCI DSS за это время? Многие ли достигли соответствия стандарту и какие компании в области консалтинга и интеграции решений по информационной безопасности сумели подтвердить свои компетенции в реализации требований PCI DSS? Для ответов на эти вопросы в первую очередь необходимо понимать, на кого именно распространяется указанный срок и кто еще имеет дополнительный запас ресурсов по времени.

Кого обязали соответствовать?

Как известно, в первую очередь продемонстрировать соответствие всем пунктам PCI DSS должны организации, напрямую подключенные к Visa через Visa-Net Extended Access Server (VEAS), так называемые VisaNet Processors. Стоит уточнить, что VNP делят на три типа:

  • Client acquiring VNP (банки с процессингом под собственные нужды);
  • Client VNP acting as service provider (банки, предоставляющие процессинговые услуги);
  • Third party VNP (процессин-говые центры).

До 7 июня 2010 г. всех Visa-Net Processors обязывали продемонстрировать полное выполнение требований PCI DSS к 30 сентября 2010 г. Для этого необходимо было отправить и согласовать с Visa положительные отчеты о соответствии (Report on Compliance) и заполненную форму аттестата соответствия (Attestation of Compliance).

Компания "Инфосистемы Джет" уже более трех лет оказывает услуги по направлению PCI DSS, обладает статусами Qualified Security Assessor (QSA) и Approved Scanning Vendors (ASV) и выполняет весь комплекс работ по защите платежных систем в соответствии с требованиями стандарта. К настоящему моменту услугами компании воспользовались более 25 банков, процессинговых центров и ритейловых организаций.
Первым крупнейшим про-цессинговым центром в России, получившим сертификат PCI DSS, стала Компания Объединенных Кредитных Карточек (USC). В 2007 г. руководство USC приняло решение заключить договор на модернизацию системы обеспечения ИБ по требованиями PCI DSS с компанией "Инфосистемы Джет".
В течение года эксперты интегратора провели предварительное обследование, выполнили работы по анализу рисков, спроектировали и внедрили комплекс программно-аппаратных средств защиты информации и запустили процессы обеспечения ИБ, требуемые стандартом. А к декабрю 2008 г. вывели компанию USC на финишную прямую – сертификационный аудит. Повторная сертификация в 2010 г. также была проведена успешно, что подтвердило наличие в USC непрерывных процессов управления ИБ.

Но после опубликования на официальном сайте Visa презентации риск-менеджера Mani Tulasi появилось мнение, что реализацию требований стандарта можно отложить на год, и общий срок переносится на 30 сентября 2011 г. Документ получил широкую огласку: его обсуждали на банковских форумах, на сайтах QSA-компаний, и о нем до сих пор регулярно вспоминают VisaNet Processors при обсуждении проектов PCI DSS. Так какие же изменения произошли 7 июня 2010 г. в сфере PCI DSS в регионе CEMEA?

Как видно из табл. 1, сроки соответствия PCI DSS были изменены только для организаций со статусом Client acquiring VNP.


Несмотря на то, что для основной массы банков Visa смягчила сроки реализации требований стандарта, остальные VisaNet Processors по-прежнему должны были выполнять фронт работ по внедрению организационных и технических мер защиты своих платежных систем, чтобы успеть к 30 сентября 2010 г.

Какие банки выдержали требования Visa и уже продемонстрировали полное соответствие PCI DSS?

По данным Банка России, в настоящее время более 60% банков осуществляют эмиссию и (или) эквайринг платежных карт (порядка 700 кредитных организаций из 1156 на 29.09.2010 г.). Около 300 из них имеют официальные статусы в международных платежных системах, а собственные процессинговые центры для обработки транзакций по международным платежным картам создали более 100 банков. Таким образом, каждый третий банк – участник международных платежных систем – имеет свой собственный про-цессинговый центр. Специфика развития рынка процессин-говых услуг в России такова, что технологические и политические мотивы играют существенно большую роль, чем экономические факторы. Поэтому практически все банки, имеющие собственный про-цессинг, не предоставляют услуг по обработке операций с международными картами другим организациям. А из этого следует, что такие банки относятся к типу Client acquiring VNP с дедлайном проведения сертификационного аудита 30 сентября 2011 г.

Несмотря на перенос сроков предоставления отчетов о соответствии, есть в банковском секторе российского рынка организации, сумевшие в 2009 и 2010 г. продемонстрировать соответствие требованиям PCI DSS:

  • ОАО "Ханты-Мансийский банк" (январь 2009 г.);
  • КБ "Трансинвестбанк" (ООО) (май 2010 г.);
  • ОАО "Собинбанк" (июль 2010 г.);
  • ЗАО "Океан Банк" (июль 2010 г.);
  • ЗАО "Банк Русский Стандарт" (август 2010 г.).

Какие процессинговые центры успели к дедлайну?

В России можно насчитать порядка 20 известных специализированных и дочерних процессинговых центров, оказывающих услуги по обработке операций с международными картами своим подключенным организациям. Из них не более пяти продемонстрировали соответствие требованиям PCI DSS в 2008 и 2009 г., а вот к концу 2010 г. перечень сертифицированных процес-синговых центров резко пополнился. Visa и MasterCard заняли активную позицию в продвижении требований безопасности, регулярно напоминая процессинговым центрам о сроке внедрения PCI DSS. Как результат, в списках сертифицированных Service Providers Visa и MasterCard появились следующие организации:

  • ЗАО "Компания Объединенных Кредитных Карточек" (январь 2010 г.);
  • Компания SEB Company Group (февраль 2010 г.);
  • Платежная система Handy-Solutions (март 2010 г.);
  • Компания "КартСтандарт" (апрель 2010 г.);
  • ЗАО "Национальные кредитные карточки" (июль 2010 г.);
  • Компания Uniteller (июль 2010 г.);
  • ЗАО "Петрокарт" (август 2010 г.).

Всем по штрафу от Visa или к каждому индивидуальные санкции?

Ответ на вопрос о санкциях за несоответствие стандарту интересует многих с момента объявления требований PCI DSS обязательными к исполнению. Банки и процессинговые центры хотят знать точные суммы штрафов для расчета экономической обоснованности действий по приведению в соответствие со стандартом.

По мнению консультантов компании "Инфосистемы Джет", в 2011 г. ожидается всплеск спроса на услуги по обследованиям, завершающимся оценкой стоимости приведения систем обеспечения ИБ в соответствие с PCI DSS. Анализ стоимости внедрения решений для соответствия стандарту впервые за многие годы перенесет акцент с технологических и политических показателей на экономическую целесообразность владения собственным процессинго-вым центром.
В настоящее время крупнейшие банки, процессин-говые центры и ритейловые организации уже провели первые этапы проектов по направлению PCI DSS. Компания "Инфосистемы Джет" занимает ведущие позиции на рынке QSA-услуг, а также успешно выполняет ASV-сканирование и тесты на проникновение. Развитие собственных компетенций, взаимодействие с международными платежными системами, а также бизнес-ориентированный подход к внедрению стандарта позволяет компании "Инфосистемы Джет" завоевывать доверие новых клиентов и продолжать активное сотрудничество с заказчиками на просторах рынка услуг PCI DSS.

А консалтинговые компании и интеграторы систем безопасности, зная санкции Visa, могли бы эффективнее выстраивать пресейловую работу с каждым отдельным клиентом. Бизнес-ориентированный подход к взысканиям с партнеров, игнорирующих требования договорных отношений, продемонстрировала Visa, а следом за ней и другие платежные системы. На текущий момент платежные системы имеют три основных рычага воздействия на своих партнеров:

  • Взыскание штрафов за невыполнение требований PCI DSS. Visa через Member Letters уведомляет о порядке взыскания и объемах штрафов каждого VNP отдельно. Причем Visa учитывает несколько критериев (в том числе и объемы совместного бизнеса) и назначает адекватные штрафные санкции каждому партнеру индивидуально.
  • Запрет на расширение бизнеса. Visa официально заявила о том, что все существующие VNP, прежде чем получить новые  подключения  к  VisaNet, должны продемонстрировать полное соответствие требованиям PCI DSS.
  • Запрет на создание бизнеса с Visa. Известно, что организации, которым необходимо подключение к VisaNet, столкнутся со многими требованиями МПС. С середины 2010 г. Visa также официально заявила, что не будет подключать к своей сети новых партнеров, которые не выполняют требования PCI DSS.

Какие планы у банков с in-house-процессингом на 2011 г.?

С учетом анализа сложившейся ситуации в области сертификации по требованиями PCI DSS более 90 банков обязаны впервые до 30 сентября 2011 г. провести сертификационный аудит. Возможно, впервые банки обратят внимание на экономическую целесообразность использования собственного процессинга и выберут один из вариантов развития взаимоотношений с международными платежными системами:

  • отказ от предоставления услуг, связанных с международными пластиковыми картами;
  • сворачивание собственного процессинга и переход на ресурсы и услуги специализированного процессингового центра;
  • плановое приведение существующей инфраструктуры информационных технологий и информационной безопасности в соответствие с требованиями PCI DSS.

А выводы?

Создается впечатление, что Visa успешно контролирует процесс создания в России полноценной культуры соответствия PCI DSS. Под влиянием МПС, несмотря на сложность проектов по реализации требований стандарта, к 30 сентября 2010 г. готовыми оказались все основные участники рынка процессинговых услуг. И это вполне закономерно – компании, для которых отсутствие сертификата PCI DSS может привести к остановке крупного бизнеса, уделили должное внимание вопросам безопасности технологических операций и привели в порядок процессы управления информационной безопасности. Естественный отбор и эволюция свойственны IТ-компаниям, поэтому в ближайшее время возможно перераспределение банков между процессинговыми центрами, а IТ-рынок, вероятно, лишится услуг некоторых сервис-провайдеров.

Что касается банковского сектора, то еще есть время на выбор стратегии предоставления услуг по обработке операций с пластиковыми картами. Анализ стоимости внедрения PCI DSS впервые за многие годы перенесет акцент с технологических и политических показателей на экономическую целесообразность владения собственным процессин-говым центром. Так что время всеобщего соответствия требованиям PCI DSS еще не настало.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2010

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"