Здавалка
Главная | Обратная связь

Взгляд на аудит сквозь призму стандарта PCI DSS

Стр 1 из 5Следующая ⇒

 

Стремительно растет количество операций с использованием пластиковых карт: онлайн-платежи, безналичный расчет в торгово-сервисных предприятиях, манипуляции с банковским счетом в системах онлайн-банкинга и прочие платежные приложения от поставщиков услуг. Соответственно, расширяется инфраструктура, в которой циркулируют информация о держателях карт и критичные аутентификационные данные. В случае попадания этой информации или ее части в руки к злоумышленникам финансовые потери несут как банки-эмитенты, так и конечные пользователи.

С ростом масштабов системы, обрабатывающей элементы данных о держателях платежных карт, увеличивается и поле для мошенничества. В контексте рассматриваемой проблемы наиболее распространенными атаками, направленными на пользователя, по-прежнему остаются кража данных с использованием вредоносного программного обеспечения и хищение информации с использованием поддельных веб-ресурсов компании-вендора (фишинг). Атаки, направленные на самого вендора, в большинстве случаев осуществляются сотрудниками пострадавшей компании (инсайдинг). И если в первом случае со злоумышленниками можно бороться на уровне информирования пользователя и установки соответствующего клиентского программного обеспечения, то во втором случае нужен соответствующий организационный и технический подход к защите процессов системы, в которой хранятся, обрабатываются и передаются элементы данных пластиковых карт.

Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC)[1], основанный ведущими международными платежными системами (Visa, MasterCard, American Express, Discover, JCB), разработал совокупность документов, в которых содержится регламент обеспечения безопасности данных о держателях карт – стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS).

 

Стандарт PCI DSS выдвигает достаточно жесткие требования к защищенности компонентов инфраструктуры, в которой передается, обрабатывается или хранится информация о платежных картах. Проверка платежной инфраструктуры на соответствие этим требования позволяет выявить причины, которые значительно снижают уровень ее защищенности. Более того, грамотно построенная процедура аудита позволяет произвести структуризацию полученной информации в ходе мероприятий по оценке соответствия и составить рекомендации по повышению уровня информационной безопасности в приоритетном порядке. Таким образом, в распоряжении компании, заказавшей услугу оценки соответствия требованиям стандарта, в результате оказывается не только максимально полная картина защищенности платежной инфраструктуры в виде официального отчета, содержащего замечания по каждому требованию, но и план действий, представляющий собой совокупность основных шагов, которые необходимо выполнить для устранения проблем. Тесты на проникновение, которые входят в список обязательных мероприятий, регламентированных стандартом PCI DSS, способны продемонстрировать реальный уровень защищенности информационных ресурсов компании c как позиции злоумышленника, находящегося за пределами исследуемого периметра, так и с позиции внутреннего служащего компании.
Международные платежные системы (МПС) обязывает все банки, торгово-сервисные предприятия (ТСП), процессинги и другие компании, которые ведут бизнес в сфере платежных карт, соответствовать требованиям стандарта PCI DSS. Отсутствие штрафных санкций со стороны МПС за несоответствие требованиям стандарта является адаптационной мерой для инфраструктур и бизнес-процессов ТСП и сервис-провайдеров. Из вышесказанного следует тот факт, что не стоит воспринимать услугу проверки на соответствие требованиям стандарта PCI DSS исключительно как формальную процедуру для получения сертификата соответствия.

Компания-консультант, предоставляющая услугу проверки соответствия требованиям стандарта PCI DSS, должна иметь в своем распоряжении методологию проведения аудита по данному стандарту, которая позволит оценить состояние защищенности исследуемой инфраструктуры. В контексте требований PCI DSS, методология позволит за определенный период времени выделить основные компоненты исследуемой системы и соответствующим образом структурировать полученные результаты. Таким образом, задача консультанта состоит в обеспечении безопасности данных о держателях карт и, как следствие, осуществлении содействия в достижении соответствия требованиям стандарта PCI DSS компании-заказчика.

Определения


ASV (Approved Scanning Vendor) – поставщик услуг сканирования, имеющий официальный статус от Совета стандартов безопасности (PCI SSC).

On-site аудит – аудит инфраструктуры Заказчика, проводимый аудитором непосредственно на реально функционирующих компонентах.

QSA (Qualified Security Assessor) — компания, сотрудники которой индивидуально прошли тренинги и экзамены, проводимые Советом стандартов безопасности (PCI SSC).

Аудитор (консультант) — лицо, занимающееся аудитом по стандарту PCI DSS (проверкой соответствия требованиям стандарта) и консультационной деятельностью, связанной с оценкой соответствия требованиям стандарта PCI DSS.

Заказчик – юридическое лицо, заинтересованное в выполнении исполнителем услуги проверки на соответствие требованиям стандарта PCI DSS.

Эквайер – член ассоциации эмитентов банковских карт, который устанавливает и поддерживает взаимодействие с предприятиями торгово-сервисной сети, принимающей платежные карты. [2]

Стандарт PCI DSS

 

12345Следующая ⇒






©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.