140

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

140 Глава 2. Международные стандарты безопасности торгово-сервисных организаций (миллионы транзакций в год) и сер¬ вис-провайдеров и нацелен на снижение рисков утечки данных «чужих» платежных карт в рамках в основном процессов авторизации. Несмотря на это обстоятельство его требования должны выполнять любые компа¬ нии, в которых происходит обработка, хранение или передача как мини¬ мум PAN. Данную позицию Совет по безопасности PCI (PCI SSC) изложил в своем FAQ. Сложности при выполнении требований стандарта испытывают бан¬ ки, которые занимаются выпуском платежных карт, их системы, обеспе¬ чивающие выпуск карт (особенно в случае, когда они интегрированы с АБС). В большинстве случаев системы разрабатывались без оглядки на требования PCI DSS (такие, как шифрование PAN, протоколирование доступа к PAN и т. п.). Доработка существующих систем (или замена, что может быть даже дешевле) под выполнение требований по безопасности — задача затратная и по времени, и по ресурсам. И для бизнеса не совсем очевидная. С другой стороны, если вспомнить, что контроль применения стан¬ дарта PCI DSS лежит на ответственности самих платежных систем, то первоочередная задача по достижению и демонстрации соответствия PCI DSS может быть ограничена. Рассмотрим требования наиболее распространенных платежных сис¬ тем VISA и MasterCard к области проверки выполнения требований стандарта PCI DSS в регионе CEMEA, которые они доводят до аудиторов QSA: VISA — в область проверки в ходе ежегодного аудита должны вхо¬ дить как минимум все системы, поддерживающие процессы авто¬ ризации платежей, клиринга и сеттлмента (от англ. settlement — урегулирование), а также фрод-мониторинга, разрешения диспутов и поддержки клиентов (колл-центры); • MasterCard — в область проверки в ходе ежегодного аудита долж¬ ны входить как минимум все системы, поддерживающие процессы авторизации платежей, клиринга и сеттлмента. Таким образом, в ходе ежегодного аудита не требуется проверять вы¬ полнение требований стандарта PCI в остальных ИТ-системах банка, •