273

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 251-300

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Безопасность аппаратной и сетевой инфраструктуры 273 Несмотря на многолетний опыт проектирования, создания и эксплуа¬ тации ПЦ на сегодня не существуют однозначно регламентирующего до¬ кумента по обеспечению безопасности при организации сетевой инфра¬ структуры. Хотя существует ряд общих стандартов (таких как, напри мер, PCI DSS, PA DSS ), которые охватывают значительный объем основных требований. Но надо понимать, что данные стандарты описы¬ вают основные тезисы или постулаты безопасности, которые необходи¬ мо соблюсти, но не способны охватить все многообразие существующих технологий, протоколов, внутренних региональных стандартов, которые применяются в современном динамичном мире информационных тех¬ нологий. В качестве примера можно привести неоднозначность в требо¬ ваниях по алгоритмам шифрования, применяемым в РФ и за рубежом. На территории РФ единственным узаконенным алгоритмом шифрова¬ ния является стандарт ГОСТ, в то время как в других странах применя ется DES, 3DES. И при прохождении сертификации на соответствие тре¬ бованиям PCI DSS процессинговому центру, использующему алгоритмы ГОСТа, необходимо убеждать международные платежные системы в том, что в РФ используется иной алгоритм шифрования и электронно-циф¬ ровой подписи, нежели предусмотренный в стандарте. 1 Также стоит отметить, что не существует однозначных требований по протоколам передачи данных, способам передачи или используемому оконечному оборудованию. Таким образом, каждому ПЦ присуща инди¬ видуальность и некая уникальность. В этой связи можно лишь обоб¬ щить то, что присуще большинству ПЦ, и рассмотреть те проблемы, ко¬ торые затрагивают большинство из них. Процессинговому центру (вне зависимости от того, является ли он самостоятельной организацией или же входит в состав как структурное подразделение финансового института) приходится иметь дело с ограни¬ чением несанкционированного доступа к данным карт, персональной ин¬ формации клиентов банка/банков или к аппаратным средствам шифрова¬ ния секретных данных (HSM). Существует немало примеров, когда сек¬ ретная информация различных ПЦ была получена третьими лицами с целью ее использования в преступной деятельности. В результате См. раздел «Международные стандарты безопасности PSI DSS» наст. книги.