Пресс-релиз по итогам Международной конференции по безопасности данных индустрии платежных карт PCI DSS Russia 2010

Пресс-релиз по итогам Международной конференции по безопасности данных индустрии платежных карт PCI DSS Russia 2010

17 марта в Москве прошла Международная конференция

по безопасности данных индустрии платежных карт PCI DSS Russia 2010. Данная конференция является уникальной площадкой для обмена накопленным опытом между участниками индустрии платежных карт и служит для совершенствования взаимодействия и определения путей достижения общих целей среди международных платежных систем, консультантов в области PCI DSS и представителей банковского сектора.

Конференция была организована компанией Digital Security, Ассоциацией Российских членов Европей и Сообществом профессионалов PCIDSS.RU при официальной поддержке Международных платежных систем Visa и MasterCard.

В конференции приняли участие руководители кредитных организаций, торгово-сервисных предприятий, специалисты в области информационной безопасности, менеджеры по управлению информационными рисками, руководители процессинговых центров и дата-центров, специалисты по операциям с платежными картами. Всего на конференции присутствовали более 150 представителей от порядка 90 различных организаций.

"Мы рады, что конференция собрала широкую аудиторию и вызвала интерес не только у представителей платежной индустрии, но и у ритейлеров. Сегодня перед рынком стоят новые задачи в области защиты персональной информации, и появление профессиональной площадки для обсуждения этих вопросов очень своевременно. Учитывая, что соответствие стандарту PCI DSS – это постоянный процесс, мы рассчитываем и в дальнейшем использовать различные форматы взаимодействия с представителями отрасли, включая проведение конференций, семинаров, встреч рабочих групп, участие в которых будет интересным и полезным не только банкам, но и торговым компаниям, розничным сетям, процессинговым центрам, сервисным организациям – всем, кто работает с данными клиентов", – отметил Андрей Соболев, представитель Ассоциации российских членов Europay в Международном Совете по стандартам безопасности индустрии платежных карт PCI SSC.

Начало конференции ознаменовалось открытием секции, посвященной вопросам достижения PCI соответствия с точки зрения регуляторов, где тема была подробно освещена представителями Visa и MasterCard, а также Ассоциации Российских Членов Европей.

Данная секция вызвала большой интерес у специалистов компаний-участников индустрии платежных карт, и позволила им задать все интересующие вопросы представителям международных платежных систем, а также обсудить ключевые моменты об основных требованиях их программ повышения безопасности и сроках реализации мероприятий по достижению соответствия PCI DSS.

"Мне было приятно встретить большой интерес со стороны банков, процессинговых центров, вендеров и торгово-сервисных предприятий к стандартам PCI DSS, а также познакомить их с основными этапами реализации программы Account Information Security.

Данное мероприятие способствует развитию безопасности российского банковского рынка в соответствии с международными стандартами. Хотелось бы выразить надежду на дальнейшее плодотворное сотрудничество", – отметил Павел Стромский, начальник управления информационными рисками Visa в России.

В рамках конференции были обсуждены такие вопросы, как путь к PCI соответствию с точек зрения QSA-аудитора и системного интегратора, как с организационной, так и технической стороны. В данной секции с докладом "Часто задаваемые вопросы на пути к PCI соответствию" выступил Сергей Шустиков (Digital Security), обратив внимание на наиболее актуальные вопросы, с которыми сталкиваются компании при реализации проектов по PCI DSS. Александр Бондаренко (LETA IT-company) рассказал о "PCI соответствии с точки зрения интегратора" - то есть об этапах внедрения PCI-проекта и ролях в нем всех его участников.

В рамках конференции специалисты Digital Security подняли ряд вопросов, касающихся технической составляющей процесса достижения соответствия требованиям стандарта. Так Илья Медведовский рассказал об особенностях проведения тестов на проникновение и основных заблуждениях при их выполнении в докладе "PCI DSS – основные заблуждения при проведении тестов на проникновение". Он в очередной раз подчеркнул, что тестирование на проникновение не является сканированием, которое также необходимо, но служит для выполнения другого требования стандарта, а также рассказал о программе поддержки качества, реализуемой Советом PCI SSC для повышения уровня оказываемых QSA-аудиторами услуг. Александр Поляков в докладе "Технические аспекты достижения PCI соответствия" рассказал о том, что, зачастую, ключевым моментом для корректного выполнения требований служит понимание целей требования, а также привел ряд примеров, на которых подробно рассмотрел процесс выполнения ряда требований PCI DSS.

Живой интерес у посетителей конференции вызвал доклад "Путь к PCI соответствию с точки зрения кредитных организаций" Александра Кузнецова, представителя компании UCS (United Card Service), в котором Александр поделился своим опытом реализации проекта по достижению соответствия стандарту PCI DSS и его поддержанию.

В отдельную специализированную секцию были вынесены доклады, посвященные безопасности платежных приложений, систем ДБО и применению стандарта PA-DSS. Алексей Синцов (Digital Security) рассказал о "Практических аспектах оценки защищенности систем ДБО", отметив, какие уязвимости в широко используемых в СНГ банк-клиентов являются типовыми и лишний раз обратил внимание на важность и необходимость их устранения ввиду высокой критичности информации, которая циркулирует в системах ДБО. Одним из немаловажных вопросов для участников конференции (среди которых также были компании – разработчики платежных приложений), который поднял Александр Поляков (Digital Security) в докладе "Ключевые особенности сертификации по PA-DSS", был вопрос решения задачи выполнения требований стандарта PA-DSS, распространяющихся на платежные приложения. Данная секция позволила взглянуть на вопросы информационной безопасности в среде платежных карт не только с точки зрения соответствия информационной инфраструктуры стандартам, а также с учетом специфики и уязвимостей широко используемого программного обеспечения.

ITSec.Ru по материалам компании DIGITAL SECURITY