Реализацией мер по принуждению к прохождению процедур сертификации на соответствие Стандарту и выдачей сертификатов на его соответствие занимаются платежные системы. Процессинговые центры и эквайреры имеют договорные отношения с платежными системами и вследствие этого обязаны выполнять все требования Стандарта. Торговые предприятия членами платежных систем не являются, гражданско-правовые отношения они имеют только с эквайрерами. Поэтому ответственность за соответствие торговца требованиям Стандарта возложена на эквайрера — т. е. эквайрер считается соответствующим его требованиям, если все его торговцы прошли процедуры сертификации в платежных системах. Кто будет оплачивать расходы по приведению торговца к соответствию требованиям Стандарта?
Данные расходы могут состоять из затрат на проведение аудита, пен-теста, ежеквартальных сканирований сети, мероприятий по приведению автоматизированной системы торговца в соответствие с требованиями, в том числе расходы на приобретение оборудования, программного обеспечения (соответствующего, помимо прочего, требованиям стандарта безопасности PA-DSS), принятие в штат или обучение сотрудников. У торговцев в России в настоящий момент нет никаких стимулов соответствовать данному Стандарту. Эквайрер же может понести штрафные санкции, если у его торговца произойдет компрометация данных платежных карт, а торговец окажется несертифицированным. Отсюда следует, что данные расходы, вероятнее всего, будет нести именно эквайрер, поэтому эквайрер будет крайне заинтересован не показывать платежным системам крупных торговцев путем регистрации их в платежной системе как нескольких более мелких. Для небольших торговцев необходимо проходить ежеквартальные сканирования сети и заполнять специальный опросный лист, на основании которого и делается заключение о соответствии требованиям Стандарта. По логике данный опросник должен заполнить сам торговец, так как только он знает, как у него организована защита информации. Но поскольку, как уже отмечалось, торговец не заинтересован в прохождении процедур сертификации, а это как минимум выделение человеческих ресурсов, то скорее всего данный опросный лист будет заполнять сам эквайрер. И здесь возникает интересная ситуация. Если эквайрер ответит на все вопросы «как есть», то, во-первых, это займет с его стороны гораздо больше времени для выяснения истинного положения дел у торговца, а во-вторых, будет вероятность того, что торговец не соответствует требованиям Стандарта. Это, в свою очередь, связано с риском штрафов для эквайрера от платежных систем в случае компрометации данных у торговца и ведет к необходимости приведения сети торговца в соответствие требованиям Стандарта (опять же за счет эквайрера). В случае если эквайрер ответит на вопросы «как надо», то это сэкономит ему существенные ресурсы, а также ликвидирует риск применения штрафных санкций со стороны платежной системы.
Таким образом, влияние эквайрера на торговца ограничено: сеть торговца не контролируется эквайрером; сертификация торговца за счет эквайрера приводит к удорожанию эквайринга: дополнительные затраты на сканирование, аудит, сертификацию ПО, увеличивается стоимость транзакции; эквайрер заинтересован понизить уровень торговца для сертификации; существующая схема сертификации торговцев может привести к недостоверным результатам соответствия Стандарту.
4. Существует ряд юридических аспектов в РФ для банков, которые следует отметить. По требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», который в настоящее время носит рекомендательный характер, банки и так внедряют системы защиты данных в соответствии с этими требованиями, причем сами требования принципиально не отличаются от требований Стандарта. Это означает, что общая стоимость защиты различных используемых банком автоматизированных систем еще более возрастет, при этом целесообразность этого не является бесспорной и достаточно обоснованной применительно к российским условиям.
5. После успешного прохождения аудита на соответствие требованиям Стандарта компания, его прошедшая, не получает никаких гарантий безопасности ни от аудиторов, ни от платежных систем. В случае же взлома системы защиты такой компании в дальнейшем статус сертифицированной организации будет, как показывает практика, пересмотрен (отозван).
6. В Стандарте нет метрик, позволяющих судить об эффективности применения его требований. Организация может либо соответствовать Стандарту после прохождения аудита (compliance), либо не соответствовать.
7. Наконец, платежные карты на основе магнитной полосы и традиционные платежи без присутствия карты (с использованием только номера карты, срока действия и кода верификации карты CVC2/CVV2) принципиально уязвимы ввиду уязвимости самих технологий. В связи с этим обеспечить безопасность принципиально уязвимых технологий невозможно.
* * *
Реализовывать требования Стандарта, очевидно, необходимо, поскольку он носит обязательный характер в соответствии с требованиями международных платежных систем. Тем не менее как сам Стандарт, так и процедуры сертификации на соответствие его требованиям имеют ряд отмеченных недостатков, препятствующих достижению его основной цели — защиты данных платежных карт.
В связи с этим более перспективным является другой путь обеспечения безопасности, а именно — не защита существующих уязвимых платежных технологий, требующая дополнительных инвестиций, а миграция на более современные и защищенные технологии, включая EMV и 3D-Secure, на которые участниками рынка уже потрачены значительные средства.
Глава 3
Обеспечение безопасности карточного бизнеса
Оценка рисков эмитента в платежной системе банковских карт с использованием мониторинга транзакций
В соответствии с Положением Банка России от 24 декабря 2004 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» внутрибанковские правила должны содержать систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска, а также предотвращения рисков при использовании кодов, паролей в качестве аналога собственноручной подписи, в том числе при обработке и фиксировании результатов проверки таких кодов, паролей.