* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки
152
Глава 2. Международные стандарты безопасности
В целом выводы в отчете приводятся следующие: • более 95% скомпрометированных организаций не выполняли тре бования PCI DSS в полном объеме; • почти 98% организаций нарушали требования, относящиеся к меж¬ сетевому экранированию; • 60 % случаев компрометации было выявлено в ходе ежегодного ауди¬ та по требованиям PCI DSS. Факты компрометации сами компании выявили не более чем в 20% случаев, при этом информация о факте компрометации была опублико¬ вана в 13 % случаев, а правоохранительные органы привлекались в 7% случаев. Среднее время между фактом компрометации и его обнаружением составило 156,5 дня, в случае если выявление происходило в рамках ежегодного аудита, и 87,5 дня, 51,5 дня и 28 дней, в случае если источ¬ ником обнаружения были публикация в прессе, расследование право¬ охранительных органов и самостоятельное обнаружение соответст¬ венно. Эти и многие другие цифры красноречиво говорят о том, что реаль¬ ный уровень безопасности в организациях, обрабатывающих платежи, в среднем достаточно низок, и даже наличие сертификата об успешном прохождении ежегодного аудита по PCI DSS не дает гарантий того, что требования по безопасности продолжат выполнять после того, как про¬ верка закончится .
1
Прочие стандарты PCI
PCI PED
2
Организации индустрии платежных карт разрабатывают общий стан¬ дарт, регулирующий в том числе аспекты безопасности устройств ввода ПИН-кодов (PIN entry devices, PEDs). Требования к таким устройствам регламентируют методологию тестирования устройств и процесс утвер1
Источник: http://www.digitaltransactions.net/news/story/2885 Более подробно со стандартом можно ознакомиться на сайте Совета по безопасно сти PCI: https://pcisecuritystandards.org/security_standards/ped/index.shtml
2
