/IMAGE/1282110342_pci.jpg)
Документы, описывающие новый стандарт отрасли платежных карт Payment Card Industry Data Security Standard 2.0 и выдающие рекомендации по защите конфиденциальной информации держателей платежных карт, будут готовы в начале сентября.
По словам Боба Руссо, генерального менеджера совета по стандартам безопасности PCI Security Standards Council, существенных изменений по сравнению с действующим стандартом DSS 1.2 сюда вносить не планируется. Однако спецификации DSS 2.0 должны конкретизировать требования, предъявляемые отраслью платежных карт к корпоративным системам безопасности.
Наиболее интересными представляются рекомендации, связанные с оценкой PCI границ области хранения конфиденциальных данных держателей карт и выделением внутри сети сегментов, которые должны соответствовать требованиям стандарта безопасности данных PCI. Сегодня основная трудность заключается в том, что компании, отвечающие за управление данными держателей карт, не имеют четкого представления о том, где на самом деле должны располагаться ресурсы.
/IMAGE/1282110392_pci-logo.jpg){kind=logo}
"Нам говорят, что данные иногда находят в самых отдаленных уголках сети, причем никто не имеет никакого понятия о том, как они там очутились, — заметил Руссо. — Нужна методология, регламентирующая процедуру поиска данных держателей карт, а также рекомендации, в которых были бы прописаны технологии предотвращения потери данных и перечислены инструменты, помогающие эти данные отыскать".
Дискуссия по вопросам виртуализации ведется уже много лет. В этой связи возникает вопрос, как соотносится раздел DSS 2.2.1, призывающий к выполнению каждым сервером только одной, главной функции, с виртуализацией данных PCI?
"Конечно, мы не собираемся запрещать использовать виртуальные среды, — сообщил Руссо. — Хотя стандарт PCI DSS 2.0 и должен внести определенную ясность в вопросы виртуализации, более глубокая дискуссия по этому поводу развернется при обсуждении отдельного документа, который должен быть принят в будущем году.
Еще один важный момент — это сквозное шифрование данных держателей карт. Необходимо принять эффективные меры к отражению кибератак, направленных на массовое хищение реквизитов платежных карт.
В то же время совет пока не планирует проводить какие-то границы, переступать за которые будет запрещено.
"Никому никаких рекомендаций мы давать не собираемся, — заявил Руссо. — Если вы введете у себя дополнительные уровни безопасности — хорошо". В новую версию стандарта может быть включено руководство по использованию сквозного шифрования в рамках выполнения уже существующих требований PCI.
Совет не будет вводить требований, обязывающих компании тратить дополнительные суммы. "Мы не можем заставлять людей вкладывать деньги в технологии", — указал Руссо.
В настоящее время совет находится в довольно неудобной ситуации, продолжая обсуждать меры безопасности, которые соответствовали бы требованиям PCI, в то время как поставщики уже называют имена сертифицированных ассессоров (qualified security Assessor, QSA), получивших право проводить оценку соблюдения организациями норм PCI. (По некоторым данным, стоимость полномасштабного ежегодного аудита в настоящее время доходит до 225 тыс. долл.)
Как ассессорам, так и организациям, подвергаемым проверке на соответствие требованиям PCI, необходимо четко понимать точку зрения совета, поскольку, вкладывая значительные средства в технологии и процедуры, они рискуют навлечь на себя обвинения в несоблюдении действующих норм.
"Мы будем участвовать в процессе, — подчеркнул Руссо. — Но, помогая принимать решения, совет ставит себя в опасное положение".
В новом стандарте PCI DSS 2.0 содержатся разъяснения требований, включенных в действующий вариант DSS. Например, в разделе 8.5, где обсуждается надежность паролей, поясняется, что все это не имеет отношения к людям, которые находятся за кассовым аппаратом или торговым терминалом.
Как только текст нового стандарта PCI DSS 2.0 будет готов, начнется его обсуждение на заседаниях совета. Одно из таких заседаний пройдет в сентябре в Орландо. Официальное завершение работ по созданию стандарта DSS 2.0 запланировано на конец октября. Новый стандарт должен вступить в силу 1 января будущего года.