На состоявшейся 15 марта в Москве конференции PCI DSS Russia 2011 региональные представители платежных систем МasterCard и VISA рассказали о наиболее важных, оказывающих влияние на стандарт безопасности данных индустрии платежных карт PCI DSS и об изменениях в этих системах.
Судя по их высказываниям, у штаб-квартир VISA и МasterCard нет нареканий по поводу того, как обстоят дела с соблюдением требований PCI DSS в России. По мнению менеджера по борьбе с мошенничеством московского представительства VISA Павла Стромского, российское банковское сообщество достаточно хорошо знакомо с требованиями PCI DSS и со сроками приведения своих платежных систем в соответствие с правилами этого стандарта. По его наблюдениям, российские участники систем VISA и МasterCard позитивно отзываются о стандарте и способах проверки на соответствие ему. Как на наиболее свежий пример он сослался на информацию, полученную им на состоявшейся в Башкирии в феврале III межбанковской конференции “Информационная безопасность банков”, на которой опыту внедрения PCI DSS было посвящено несколько выступлений.
Отвечая на вопрос о надежности защиты критичных для платежных систем данных у российских участников этих систем, региональный менеджер по безопасности МasterCard Михаил Хрущев сообщил, что в России утечек данных (исключая банкоматный трафик) в системе МasterCard не зарегистрировано. По его словам, периодически выявляются несоответствия стандарту PCI DSS у отдельных процессоров МasterCard, но они оперативно реагируют на письма-уведомления об этом и, как правило, в течение месяца предоставляют либо сертификат соответствия, либо план действий с указанием окончания сроков аттестации.
В феврале нынешнего года VISA запустила программу Technology Innovation Program (TIP), которая, как подчеркнул г-н Стромский, определяет стратегию перехода VISA к динамической аутентификации внутри платежной системы и влияет не только на стандарт PCI DSS, но и на обеспечение информационной безопасности в целом в каждом отдельном банке. Суть динамической аутентификации заключается в генерации уникальных идентификационных данных на каждую отдельную платежную транзакцию. При этом в случае компрометации любой отдельной транзакции другие транзакции на стадии идентификации не страдают.
Конкретных технологий для реализации данной стратегии много. Задачу перехода на динамическую идентификацию, как полагают в VISA, поможет решить использование банковских карт с чипом. Для считывания информации с таких карт понадобятся новые терминалы, допускающие в том числе и бесконтактное считывание данных. Выполнение упомянутых задач предполагает долговременную модернизацию платежной системы. TIP как раз и определяет развитие VISA в этой области.
Как проинформировал г-н Стромский, чтобы стимулировать в рамках TIP переход на новые технологии, требующий существенных затрат, те из участников платежной системы, которые будут проводить через терминалы, поддерживающие идентификацию с помощью чипов, более 70% транзакций, будут освобождаться от ежегодного подтверждения соответствия PCI DSS, что позволит им (особенно крупным торговым сетям) экономить существенные средства — ведь процедура аудита тоже стоит денег.
Программа TIP, как считают в VISA, поможет эквайерам этой системы за счет использования безопасных терминалов упростить для своих мерчантов проверки их систем обеспечения информационной безопасности, делать это самостоятельно, без привлечения аттестованных аудиторов (Qualified Security Assessors). Г-н Стромский сообщил, что чиповые карты уже начали выпускать в России, и некоторые отечественные банки объявили программы перехода на чиповые технологии.
В конце 2009 г. МasterCard запустила программу Account Data Compromise (ADC). В ее рамках проводятся мероприятия, нацеленные на повышение защищенности данных в этой платежной системе. Чтобы подвигнуть своих участников более внимательно относиться к соблюдению требований стандарта PCI DSS, система МasterCard ввела более высокие штрафы за нарушение безопасности данных, что вызвано, как сообщил г-н Хрущев, тем, что в мире (в Испании, Швеции, Великобритании, США) участились случаи взломов процессоров МasterCard. Так, по его словам, за один зарегистрированный случай утечки (кейс, согласно принятой в МasterCard терминологии) допустивший ее участник системы теперь должен выплатить штраф в 100 тыс. долл.
В МasterCard считают, что новые правила штрафования заставят участников платежной системы серьезнее относиться к защите своих данных и трафика, к своевременной сертификации. Если в системе прошедшего аттестацию (Attestation of Certification) на соответствие PCI DSS участника МasterCard произойдет компрометация данных, то наличие сертификата значительно уменьшает размеры его финансовой ответственности перед платежным сообществом. Разумеется, в каждом конкретном случае рассматривается серьезность последствий инцидента для сообщества, в первую очередь — важность и объемы скомпрометированных данных.