PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Стандарт, «гарантирующий защиту»

Обсуждению, в основном, подлежат два вопроса:

  1. Является ли адекватным поведение МПС (Visa, в ответ на сообщение, удалила Heartland из списка PCI Compliant сервис-провайдеров), ведь если сегодня ты присутствуешь в «белых» списках PCI, а завтра тебя оттуда удаляют, то какова цена этим спискам, то есть статусу PCI Compliant, а значит и самому сертификату.
  2. Гарантирует ли стандарт PCI DSS защиту от инцидентов, связанных с компрометацией данных платежных карт. Иначе говоря, вопрос ставится таким же образом: какова цена этому сертификату.

В ответ на первый вопрос хочется обратиться непосредственно к самому стандарту, который сопоставляет уровню сервис-провайдера его обязательства по прохождению сертификации. Среди прочего там перечислены «все сервис-провайдеры, которые были скомпрометированы». То есть, Visa поступила в строгом соответствии со стандартом, и пострадавшая сторона не сможет считаться PCI Compliant, пока не приведет свою информационную систему в соответствие, устранив бреши в безопасности.

Второй вопрос я намеренно оставил в такой формулировке. Позволю себе процитировать некоторых «экспертов», высказавших свое мнение по поводу обсуждаемого вопроса: «либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты». Вообще, само понятие «стандарта, гарантирующего защиту» звучит довольно странно и напоминает известную шутку про вероятность встретить на Невском проспекте НЛО — ровно 50% («либо встретите, либо нет»). К сожалению, кроме шуток, часто приходится наблюдать непонимание разницы между терминами «соответствие» (compliance) и «проверка соответствия» (validation). Вместе с тем очевидно, что первое означает континуальный процесс, который должен поддерживаться в течение времени, а стандарт PCI DSS лишь предъявляет ряд требований к этому процессу. QSA-аудитор же может только зафиксировать факт выполнения этих требований в отдельных момент времени, т.е. выполнить проверку соответствия. Если сразу после того, как за аудитором захлопнулась дверь, проверяемая организация отключила антивирусные средства или убрала систему обнаружения вторжений, повышается в таком случае риск компрометации? Очевидно, что да. Является ли это упущением стандарта PCI DSS и говорит ли о его непригодности? Очевидно, что нет.

Поэтому когда мы говорим о том, какова цена сертификату и коррелирует ли его наличие с величиной риска, довольно глупо обращаться за аргументами к «истории неудач». Вместо этого не следует забывать, что все зависит главным образом от того, насколько грамотно выполнены требования стандарта и как хорошо налажен процесс контроля и управления безопасностью, диктуемый этим стандартом.

соответствие | инцидент | утечка данных
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 









Партнеры