141

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Стандарты международных платежных систем: PCI DSS и смежные стандарты 141 не связанных с вышеуказанными процессами (например, системы, под¬ держивающие выпуск карт, обеспечивающие аналитику по использова¬ нию карт и т. п.). При этом должны быть выполнены одновременно сле¬ дующие условия (так как такие системы классифицируются как Con¬ nected Systems, т. е. подключенные системы): • исключаемые из области проверки ИТ-системы должны быть отде¬ лены межсетевым экраном (разумеется, правильно сконфигуриро¬ ванным в соответствии с требованиями стандарта); • интерфейс взаимодействия между ИТ-системами, исключаемыми из области проверки, и ИТ-системами, включенными в область про¬ верки, должен обеспечивать достаточный уровень защищенности последних. Должны применяться защитные меры, позволяющие при компроме¬ тации любой ИТ-системы, обрабатывающей данные платежных карт и исключенной из области проверки, понизить риск компрометации подключенных к ним ИТ-систем, включенных в область проверки. Особенно интересен тот факт, что не требуется проверять и сети бан¬ коматов (что выглядит странным, так как они участвуют в авторизации непосредственным образом). Стоит заметить, что с учетом опыта по¬ следних инцидентов с вирусами на банкоматах МПС (в частности, VISA) рекомендует для снижения подобных рисков реализовать для банкома¬ тов те же защитные меры, что вошли в стандарт PCI DSS, но это именно рекомендации. Члены платежной системы вправе рассмотреть их эффек тивность, вправе даже привлечь QSA-аудиторов для оценки их выполне¬ ния. Но невыполнение банками ряда требований PCI DSS на банкоматах не может быть классифицировано аудиторами как несоответствие стан¬ дарту PCI DSS, препятствующее получению сертификата соответствия в рамках определенной самими платежными системами области прове¬ дения сертификационного аудита PCI Validation Scope (для сравнения — на Западе аудиторы проверяют и банкоматы тоже). Таким образом, для того чтобы снизить затраты на выполнение тре¬ бований платежных систем по достижению соответствия PCI DSS, реко¬ мендуется в первую очередь уменьшить область проверки путем пра¬ вильной сегментации сети и внедрения защитных мер, обеспечивающих безопасность взаимодействия с подключенными системами.