162

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 151-200

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

162 Глава 2. Международные стандарты безопасности Во-вторых, почему его внедрение не приводит к уменьшению числа компрометаций и объема скомпрометированных данных? Эти вопросы волнуют в настоящий момент всех специалистов по безопасности в от¬ расли, они же явились предметом особого рассмотрения в Комитете на циональной безопасности палаты представителей США (House of Repre sentatives Committee on Homeland Security) 31 марта 2009 г. в слушаниях на тему «Приводят ли Стандарты безопасности индустрии платежных карт к снижению киберпреступности?» («Do the PCI Standards Reduce Cybercrime?»). Позиция представителей PCI SSC и VISA на слушаниях заключалась в том, что сертифицированная на соответствие требованиям Стан дарта организация соответствует этим требованиям на момент сер тификации, но в дальнейшем нельзя гарантировать, что это соответ ствие сохранится. При этом после успешного взлома ранее сертифици¬ рованных организаций во всех случаях аудит показал, что организация уже не соответствует требования безопасности. Представители торговых компаний отметили, что следование требо¬ ваниям Стандарта вовсе не приводит к состоянию уверенности в безо¬ пасности данных держателей карт, при этом реализация требований на практике связана с существенными затратами. А поскольку данные платежных карт все равно должны быть обработаны, т. е. как минимум в этот момент они представляются в незашифрованном виде, то ком¬ прометация остается возможной. Кроме того, торговые компании США расценивают Стандарт как некую «заплатку» (patch) безопасности, це¬ лью которого является перенос потерь на торговые предприятия. Член палаты представителей Иветта Кларк (Yvette Clark) заявила, что выпол¬ нение Стандарта не гарантирует безопасности, призвала к его измене¬ нию и переходу на новые защищенные технологии, например «ЧИП и ПИН» (Chip&PIN). Председатель слушаний обозначила важную позицию отсутствия метрик эффективности Стандарта, которые в принципе должны быть не¬ отъемлемой его частью. Целью Стандарта является защита данных пла¬ тежных карт. В случае если такая защита будет обеспечена, логично ожи¬ дать снижения киберпреступности, мошенничества с платежными карта¬ ми — такое снижение может являться объективным измерителем эффек-