PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Почему стандарты PCI существуют?

В связи с резким ростом количества статей и докладов о стандарте PCI DSS и доводах считать его бесполезным, я решил, что следует рассказать о том, почему разрабатывались стандарты PCI.

В 1999 Visa USA начала работать над программой обеспечения безопасности данных о клиенте (Customer Information Security Program, CISP). Первая официальная версия CISP была выпущена летом 2003 года с указанием Visa как можно скорее определить мерчантов, соответствующих требованиям CISP. Первоначальный импульс для CISP был обусловлен увеличением платежей, которые были результатом незаконного использования счетов кредитных карт. Анализ этих платежей выявил, что сотрудники торгово-сервисных предприятий стали все чаще использовать доступ к POS-терминалам и системам обработки учетных данных для получения номеров кредитных карт и их последующего использования в мошеннических целях.

В то время как развитие CISP прогрессировало, Visa USA также стала замечать, что количество случаев компрометации данных на сайтах электронной коммерции (e-Commerce) возросло, а информация о кредитных картах, хранящаяся в базе, утекает к злоумышленнику и используется в мошеннических целях. Причина оказалась в том, что разработчики приложений использовали такую же модель разработки ПО для e-Commerce как и для POS. В результате оказалось, что данные о держателях карт хранились в базах данных в сети Интернет.

По прошествии приблизительно года работы Visa USA, MasterCard International начал разработку стандарта защиты данных веб-сайтов (Site Data Protection standard, SDP). В отличие от CISP, в SDP внимание было сфокусировано на обеспечении безопасности веб-сайтов электронной коммерции. MasterCard следил за быстрыми темпами роста мошенничества, связанного с компрометацией данных на сайтах электронной коммерции, и его анализ, как и анализ Visa USA, выявил, что большинство интернет-сайтов e-Commerce, хранящих данные о держателях карт в БД, были недостаточно хорошо защищены. В результате для решения данной проблемы MasterCard разработал SDP-стандарт, устанавливающий базисный уровень информационной и сетевой безопасности для веб-сайтов электронной коммерции.

Работа над CISP двигалась вперед, были получены дополнительные статистические данные по вопросам безопасности, и Visa USA начала понимать, что именно приложения онлайн платежей являются самой главной проблемой, служащей причиной компрометации данных о держателях карт. Как результат, Visa USA разработала стандарт сертификации платежных приложений (Payment Application Best Practices, PABP), который был опубликован в конце 2004 года и настоятельно рекомендован к использованию производителями программного обеспечения в качестве критерия защищенности их ПО.

Существует мнение, что стандарты PCI были разработаны лишь для того, чтобы минимизировать потери МПС и банков, а для мерчантов не представляют никакой пользы. Однако PCI стандарты были призваны защитить каждое звено в процессе транзакции. Когда происходит нарушение, первое что запоминают люди — это платежный бренд, затем, скорее всего, мерчанта или поставщика услуг, далее франчайзи, если он есть. МПС, поставщики услуг и франчайзеры поняли, что рискуют своей репутацией, не смотря на то, что проблему, в общем-то, зачастую создавали франчайзи мерчанты. Независимо от того, с чьей стороны было произведено нарушение, как правило, бренды международных платежных систем претерпевали самый сильный удар по репутации. Как следствие, МПС пришли к твердому решению защищать свое имя и репутацию.

Недавно также было высказано мнение о том, что стандарт PCI DSS не нужен, потому что рыночные предприятия будут сами решать вопросы безопасности при проведении транзакций. Однако, во-первых, проблема состоит в том, что большинство мерчантов и поставщиков услуг не уверены в том, что они несут ответственность за обеспечение безопасности данных о держателях карт даже после того, как они могли подвергнуться нарушениям. Они считают, что обеспечение безопасности ДДК — проблема международных платежных систем, поскольку МПС генерируют платежные карты. К сожалению, безопасность ДДК не может контролироваться МПС, поэтому мерчанты и поставщики услуг также должны нести ответственность. Во-вторых, проблема заключается в том, что базовых требований безопасности нет. У каждой организации свое мнение на этот счет, и разный взгляд и отношение к угрозам безопасности. В результате в некоторых организациях обеспечивается высокая защита данных о держателях карт (например, в банках), а в других — низкая. Низкая защищенность некоторых звеньев системы ставит под угрозу обеспечение безопасности ДДК во всей системе — в этом заключается проблема такого подхода. Как следствие, в мире, где все взаимосвязано, организации с высоким уровнем безопасности находятся под угрозой, если они являются партнерами тех организаций, в которых этот уровень низкий. Следствием этого явилось признание МПС того, что необходим единый стандарт для обеспечения прочной основы платежной безопасности.

Мы надеемся, что с этой точки зрения можно понять, почему стандарты существуют и используются для обеспечения необходимой безопасности ДДК.

Автор: PCIGuru

Оригинал заметки: http://pciguru.wordpress.com/2010/07/03/why-the-pci-standards-exist/

mastercard | стандарт | visa
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры