163

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 151-200

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов PCI DSS и реальная безопасность платежной системы банковских карт 163 тивности Стандарта. Если же снижения числа преступлений и объема скомпрометированных данных платежных карт не происходит, очевид¬ но, безопасность данных не обеспечивается. В результате слушаний были сделаны два основных вывода: 1. Стандарт не является достаточным для защиты данных держате¬ лей карт и следование его требованиям не обеспечивает в настоящий момент адекватной безопасности. 2. Стандарт скорее переносит бремя ответственности по мошенниче¬ ству, чем реально препятствует компрометации данных. В результате слушаний оказалось, что цели заинтересованных сторон различаются. Так, PCI SSC является организацией, обеспечивающей раз¬ работку Стандарта и обучение, но не играющей действительной роли в его адаптации и эволюции. Целью платежной системы является продвижение Стандарта среди своих членов. Торговые предприятия стремятся рас¬ ширить свой бизнес, предоставляя товары и услуги покупателям, и они не только не заинтересованы в реализации требований Стандарта, но и считают его инструментом давления со стороны платежных систем. Особую озабоченность сертифицируемых на соответствие требова¬ ниям Стандарта организаций вызывает тот факт, что успешное прохож¬ дение сертификации не гарантирует реальной безопасности. На практи¬ ке часто имеет место такой сценарий развития событий. 1. Торговое предприятие А проходит сертификацию на соответствие Стандарту, что подтверждается QSA (Qualified Security Assessor) . 2. Через некоторое время торговое предприятие А признается точ¬ кой компрометации данных платежных карт после успешной атаки со стороны злоумышленников. 3. PCI SSC выпускает поправки для аудиторов по процедурам прове¬ дения оценки на соответствие требованиям Стандарта по результатам данного инцидента. 4. При проверке торгового предприятия А по новым процедурам оно уже не соответствует требованиям. Практика внедрения Стандарта показала, что одного формулирования требований безопасности недостаточно. Внедрение требований, управление 1 Квалифицированный аудитор систем безопасности (см. предыдущий раздел).