Для всех, кто принимает электронные платежи, PCI-DSS (Payment Card Industry Data Security Standard — cтандарт безопасности данных индустрии платёжных карт) является критически необходимым компонентом обеспечения нормативных требований к ведению бизнеса. В нынешнем состоянии стандарт находится на уровне PCI-DSS 2.0. Одновременно разрабатывается новый стандарт 3.0, несущий изменения в политике и процедурах, которые важны для безопасности всей экосистемы электронных платежей.
“Новая версия PCI-DSS 3.0 превратит стандарт в органичную часть обычных бизнес-операций, — рассказал eWeek Боб Руссо, главный управляющий совета Payment Card Industry Security Standards Council (PCI SSC). — Мы хотим попытаться отучить людей считать, что PCI-DSS можно заняться раз в год, а потом про него не думать. В реальной обстановке нередко возникают бреши”.
PCI-DSS зачастую рассматривался лишь как основа для проверки компании на соответствие нормативам, когда можно поставить галочку, что в данный момент все в порядке, и спокойно переходить к другим делам. Руссо подчеркнул, что в новом стандарте PCI-DSS 3.0 сделан акцент на обучении и политике, делающий безопасность платежей повседневной задачей и элементом постоянно поддерживаемого порядка.
Трой Лич, директор PCI SSC по технологии, сообщил eWeek, что новый стандарт делает реальный упор именно на процессе обеспечения безопасности: “Мы включили в стандарт политику обеспечения безопасности и постоянную оценку рисков”. При PCI-DSS-тестировании цель проверок теперь состоит в обеспечении гарантий безопасности бизнес-процесса, а не в том, чтобы удостовериться, что у компании имеется конкретная технология безопасности.
Суть в том, что стандарт поможет вести более согласованный процесс-ориентированный контроль, что особенно важно для крупных организаций. И в нем также усилен акцент на постоянной ответственности, а не только на эпизодическом PCI-DSS-аудите.
По словам Лича, новый стандарт поможет предприятиям торговли дать ответ на вопрос: “Есть ли у нас должная культура для ежедневной и ежечасной защиты данных владельцев кредитных карт в процессе нашего бизнеса?”.
Хотя в своей основе стандарт PCI-DSS 3.0 предусматривает больше, чем эпизодические проверки, в действительности он не требует более частого аудита, чем PCI-DSS 2.0.
“Кроме ежегодной аттестации, других отчетов не потребуется, однако это лишь одномоментный снимок, — скзал Лич. — Мы же надеемся, что при изменении обстановки продавец будет осуществлять более регулярный контроль”.
Ясность
Один из аспектов критики стандарта PCI-DSS — отсутствие ясности в его положениях. Например, стандарт может потребовать, чтобы организация развернула Web Application Firewall (WAF) без детализации нужной конфигурации сетевого экрана или даже объяснения, почему он так необходим. Такую критику в четкой и резкой форме высказывали члены PCI SCC, и это потребовало разработки нового улучшенного стандарта.
В прошлых версиях стандарта всегда присутствовали две колонки, объяснявшие то или иное требование по контролю безопасности. В первой колонке формулировалось требование, а во второй давались подробности процедуры тестирования. В стандарте PCI-DSS 3.0 должна появиться третья колонка, где, по словам Лича, будут содержаться жизненные примеры рисков, на уменьшение которых направлена данная мера контроля безопасности.
Так, в случае WAF новый стандарт будет объяснять, что умеет делать эта технология и какие типы рисков она поможет смягчить.
Пароли
Одно из важных изменений в стандарте PCI-DSS 3.0 связано с использованием паролей. В последние три года PCI SCC провел ряд исследований по надежности паролей, которые помогли сформулировать новые требования.
“Пароли в форме фраз эквивалентны по надежности коротким буквенно-цифровым паролям”, — пояснил Лич.
В парольных фразах используют предложение с пробелами между словами (например, “джонни выгуливал собаку”), которое служит альтернативой обычному паролю. В новом стандарте сохраняется требование, чтобы пароли, как минимум, содержали семь символов из букв и цифр, но добавляется альтернативная опция использования парольных фраз.
Облако
Большую озабоченность в последние годы вызывала применимость PCI-DSS к облачным средам. Суть в том, что если продавец осуществляет свои операции через PCI-DSS-совместимое облако, это еще не гарантирует их безопасность.
Лич подчеркнул, что в PCI-DSS 3.0 акцентируется тема совместной ответственности. То есть продавцу и провайдеру облака необходимо работать сообща и иметь заключенные соглашения, в которых разъясняется, кто за что отвечает.
Сроки
Разработка стандарта PCI-DSS 3.0 сегодня находится на заключительных стадиях. По информации Руссо, в ближайшие месяцы PCI SCC организует серию совещаний для дальнейшего улучшения и отработки спецификации. В ноябре будет опубликована финальная версия стандарта, а 1 января 2014 г. стандарт должен вступить в силу.
Хотя PCI-DSS 3.0 начнет действовать с января, предприятиям, соблюдающим PCI-DSS 2.0, будет дан годичный срок для перехода на новый стандарт.
“Вносимые в новый стандарт изменения основаны на обратной связи с предприятиями и понимании существующих проблем. Мы верим, что новый стандарт станет лучше”, — заявил Руссо.