Эти и многие другие цифры красноречиво говорят о том, что реальный уровень безопасности в организациях, обрабатывающих платежи, в среднем достаточно низок, и даже наличие сертификата об успешном прохождении ежегодного аудита по PCI DSS не дает гарантий того, что требования по безопасности продолжат выполнять после того, как проверка закончится[73].
Прочие стандарты PCI
PCI PED[74]Организации индустрии платежных карт разрабатывают общий стандарт, регулирующий в том числе аспекты безопасности устройств ввода ПИН-кодов (PIN entry devices, PEDs). Требования к таким устройствам регламентируют методологию тестирования устройств и процесс утверждения сертифицированных устройств и включают требования по защите ПИН-кодов.
Задача PCI PED — удостовериться в том, что устройство, принимающее ПИН-код, обеспечивает защиту чувствительной информации, такой как резидентные ключи, ПИН владельца пластиковой карты и др.
Цель требований заключается в обеспечении единого, последовательного и точного стандарта для всех устройств ввода ПИН-кодов по всему миру.
Программа тестирования и утверждения устройств ввода ПИН-кодов отражает стандартный набор:
• требования безопасности к устройствам;
• методологию тестирования;
• процесс сертификации и утверждения.
PA DSSТребования Стандарта безопасности данных платежных приложений (PA DSS) являются производными от требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) и Процедур аудита безопасности PCI DSS (PCI DSS Security Audit Procedures). Эти документы, с которыми можно ознакомиться на сайте[75], содержат подробное описание требований безопасности данных, которые торгово-сервисные предприятия и сервис-провайдеры должны соблюдать для соответствия стандарту PCI DSS (следовательно, какое приложение платежной системы необходимо использовать для обеспечения соответствия этому стандарту).
Стандарт PCI DSS обычно не распространяется на производителей приложений платежных систем, поскольку большинство производителей не выполняют хранение, обработку и передачу данных о держателях карт. Однако поскольку приложения платежных систем используются клиентами для хранения, обработки и передачи данных о держателях карт, а клиенты должны соблюдать требования стандарта PCI DSS, то приложения платежных систем должны соответствовать требованиям стандарта PCI DSS и не нарушать их.
Ниже приведены несколько способов использования приложений платежных систем, при которых требования стандарта PCI DSS нарушаются:
• хранение данных магнитной полосы карты в сети клиента после авторизации;
• использование приложений, для корректной работы которых требуется отключение клиентами программного обеспечения, которое должно применяться для соблюдения требований стандарта PCI DSS, например, антивирусных программ или межсетевых экранов;
• использование производителями незащищенных методов подключения к этим приложениям для технической поддержки клиента.
При использовании в среде, соответствующей требованиям стандарта PCI DSS, защищенных приложений платежных систем уменьшается вероятность нарушения безопасности, приводящая к компрометации полных данных магнитной полосы, кодов проверки подлинности карты (CAV2, CID, CVC2, CVV2), ПИН-кодов и ПИН-блоков и, в результате, к осуществлению хакерами мошеннических операций.
PCI DSS и российская действительность
Внедрение стандарта PCI DSS в России идет непросто. Во многих банках оно находится в активной фазе[76], но ряд крупных банков еще даже не начинали активных действий по внедрению стандарта. Почему же сложилась такая ситуация — ведь стандарт является обязательным для российских компаний аж с далекого 2007 г.?
Автору с 2007 по 2011 г. удалось понаблюдать (с позиции сертифицированного аудитора QSA), как трудно происходит проникновение стандарта в умы и бюджеты банков и сервисных провайдеров в России и странах СНГ. Основных причин возникающих проблем, по мнению автора, несколько.
1. Относительно низкий уровень обеспечения информационной безопасности и управления ИБ в большинстве российских банков по сравнению с банками Западной Европы и США.
На момент сдачи книги в печать.
Исторически сложилось так, что подавляющее большинство российских банков строили свои системы обеспечения и управления ИБ, ориентируясь в первую очередь на нормативные документы и лучшие практики ФСТЭК, ФСБ, которые были разработаны без учета современного уровня развития информационных технологий и повсеместного проникновения Интернета и мобильной связи. При этом часть современных угроз безопасности остаются «незакрытыми».
Перестройка же системы управления безопасностью по новым, процессно-ориентированным западным стандартам менеджмента представляет собой очень сложную задачу. В итоге внедренные суперсовременные системы мониторинга безопасности, анализа защищенности, обнаружения вторжений и т. п., разработанные западными вендорами с прицелом на западные системы менеджмента безопасности, в российских условиях начинают работать с меньшей эффективностью, не так, как было задумано производителем.
2. Многократный перенос сроков внедрения стандарта и отсутствие фактов наложения штрафов за несоответствие стандарту PCI DSS для российских банков в совокупности с небезызвестным российским менталитетом.
Совершенно понятна позиция платежных систем, заключающаяся в том, чтобы «не рубить сук, на котором сидишь», т. е не трогать банки, приносящие хороший доход платежной системе. Очевидно, это понимают и банки, позиция руководства которых в этом вопросе может быть довольно резка. «Пусть попробуют штрафануть — уйдем в другую платежную систему», «Пока кого-нибудь из топ 20 не оштрафуют, мы на это деньги тратить не будем», «Да мы входим в правление платежной системы, пусть попробуют нам что-нибудь сказать», «Сроки уже три раза переносили, так и еще перенесут скорее всего» — это реальные высказывания серьезных банков образца 2007–2008 гг. Ближе к 2011 г. большинство банков смирились с необходимостью рано или поздно соответствовать стандарту и начали движение в сторону его изучения и выполнения требований.
В неофициальных беседах представители платежных систем также подтверждают, что санкции начнут применять тогда, когда основная масса банков достигнет соответствия стандарту. Да и в нормативных документах сказано, что члены платежных систем МОГУТ быть оштрафованы за нарушение требований программы соответствия. «Могут» не означает «обязательно будут». Вот все и ждут, пока кого-нибудь (видимо, не очень крупного) не оштрафуют в назидание всем и, может быть, даже лишат лицензии.