В банковской индустрии на данный момент деятельно обсуждается обстановка около RBS WorldPay и Heartland Payment systems, сообщивших в начале года о самых больших утечках платежных данных в собственной истории.
Антон Карпов, QSA-аудитор Digital Security
Дискуссии, по большей части, подлежат два вопроса:
1. есть ли адекватным поведение МПС (Visa, в ответ на сообщение, удалила Heartland из перечня PCI Compliant сервис-провайдеров), так как в случае если сейчас ты присутствуешь в «белых» перечнях PCI, а на следующий день тебя оттуда удаляют, то какова цена этим перечням, другими словами статусу PCI Compliant, соответственно и самому сертификату.
2. Гарантирует ли стандарт PCI DSS защиту от инцидентов, которые связаны с компрометацией данных платежных карт. В противном случае говоря, вопрос ставится таким же образом: какова цена этому сертификату.
В ответ на первый вопрос хочется обратиться конкретно к самому стандарту, что сопоставляет уровню сервис-провайдера его обязательства по прохождению сертификации. Среди другого в том месте перечислены «все сервис-провайдеры, каковые были скомпрометированы».
Другими словами, Visa поступила в строгом соответствии со стандартом, и пострадавшая сторона не сможет принимать во внимание PCI Compliant, пока не приведет собственную информационную совокупность в соответствие, устранив бреши в безопасности.
Второй вопрос я намеренно оставил в таковой формулировке. Разрешу себе процитировать некоторых «специалистов», высказавших собственный вывод по поводу обсуждаемого вопроса: «или сертификация была совершена не подобающим образом, или стандарт не гарантирует защиты».
По большому счету, само понятие «стандарта, обеспечивающего защиту» звучит достаточно необычно и напоминает известную шутку про возможность встретить на Невском проспекте НЛО — ровно 50% («или встретите, или нет»). К сожалению, не считая шуток, довольно часто приходится замечать непонимание отличия между терминами «соответствие» (compliance) и «проверка соответствия» (validation).
Вместе с тем разумеется, что первое свидетельствует континуальный процесс, что обязан поддерживаться в течение времени, а стандарт PCI DSS только предъявляет ряд условий к этому процессу. QSA-аудитор же может лишь зафиксировать факт исполнения этих требований в отдельных момент времени, т.е. выполнить диагностику соответствия.
В случае если сразу после того, как за аудитором захлопнулась дверь, контролируемая организация отключила противовирусные средства либо убрала совокупность обнаружения вторжений, увеличивается при таких условиях риск компрометации? Разумеется, что да.
есть ли это упущением стандарта PCI DSS и говорит ли о его непригодности? Разумеется, что нет.
Исходя из этого в то время, когда мы говорим о том, какова цена сертификату и коррелирует ли его наличие с величиной риска, глупо обращаться за доводами к «истории неудач». Вместо этого не нужно забывать, что все зависит в основном от того, как грамотно выполнены требования стандарта и как прекрасно налажен управления и процесс контроля безопасностью, диктуемый этим стандартом.
Сборка трехфазного электрощита — полная защита от скачков напряжения
