158

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 151-200

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

158 Глава 2. Международные стандарты безопасности содержащим вполне конкретные реализуемые требования и позволяю¬ щим достичь определенного минимального уровня безопасности. Многочисленные расследования случаев компрометации данных по¬ казали, что компании не выполняли многие требования стандарта на момент компрометации. Конечно, не может быть стопроцентной уверенности в том, что если бы требования стандарта выполнялись, то компрометации бы не про¬ изошло. Но ущерб как минимум был бы намного меньше, хотя бы в ре¬ зультате того, что в ходе мониторинга событий ИБ и/или регулярных проверок безопасности, предписанных стандартом, компрометация была бы обнаружена существенно быстрее. В реальности же среднее время об¬ наружения факта компрометации — более 6 месяцев после взлома, а ини¬ циатором расследования часто служат внешние источники, такие как пла¬ тежные системы, обманутые клиенты или СМИ. Переход на новые технологии авторизации (EMV, 3D Secure и т. п.) может существенно понизить уровень мошенничества по существую¬ щим схемам. Но вопросы безопасности инфраструктуры, обеспечиваю¬ щей прохождение платежей, безопасности разрабатываемых прикладных приложений, разграничение доступа сотрудников, мониторинг и реаги¬ рование на инциденты ИБ и прочие вопросы информационной безопас¬ ности, изменение технологии авторизации решить не сможет, а как раз для этого и предназначен стандарт PCI DSS. Для переноса интересов преступности из сферы мошенничества с использованием пластиковых карт на другие способы незаконного получения и/или отмывания денег в особо крупных размерах необходимо одновременно и переходить на новые технологии авторизации, и защищать инфраструктуру путем вне¬ дрения стандарта PCI DSS, а также разрабатывать защищенные прило¬ жения в соответствии со стандартом PA DSS. PCI DSS и реальная безопасность платежной системы банковских карт В 2010 г. компания Verizon Business опубликовала очередной отчет о компрометации данных «2010 Data Breach Investigations Report». В основу исследования, проведенного подразделением Verizon RISK