Безопасность карточного бизнеса : бизнес-энциклопедия - А. Алексанов
Шрифт:
Интервал:
Закладка:
Программа MasterCard SDP была разработана, чтобы помочь торгово-сервисным предприятиям (ТСП), сервис-провайдерам — сторонним процессингам (Third Party Processors, TPPs) и организациям хранения данных (Data Storage Entities, DSEs) — упредительно обеспечить собственную защиту и всей платежной системы в целом от угроз компрометации.
Ключевой целью реализации программы SDP является обеспечение безопасного хранения ТСП и сервис-провайдерами данных учетных записей MasterCard в соответствии со стандартом безопасности данных в индустрии платежных карт (PCI DSS).
ТСП и сервис-провайдерам важно понимать свое положение (классифицировать) в программе MasterCard SDP для определения обязательных процедур подтверждения соответствия. Классификация организаций по уровням приведена в табл. 2.4, сервис-провайдеров — в табл. 2.5.
MasterCard оказывает содействие эквайрерам по программе SDP для поддержания безопасной инфраструктуры с торгово-сервисными предприятиями. Эквайеры сами по себе не обязаны проходить процедуры соответствия SDP, но они должны управлять этим процессом для своих ТСП.
Эквайреры должны ежеквартально высылать заполненную форму SDP Acquirer Submission and Compliance Status Form[72]. В нее включен список всех ТСП и сервис-провайдеров (хранящих данные для указанных ТСП), которые должны соответствовать PCI DSS в течение каждого периода действия положения о программе SDP. Для каждого ТСП эквайреры должны предоставить:
• название ТСП;
• идентификационный номер ТСП (Merchant ID);
• код категории ТСП (Merchant category code, MCC);
• уровень ТСП (см. выше табл. 2.4);
• статус соответствия стандарту;
• название каждого сервис-провайдера, хранящего учетные данные MasterCard, работающего с данным ТСП;
• количество проведенных транзакций ТСП за предыдущий отчетный период (12 месяцев).
1. Развернуть программу безопасности SDP для всех ТСП в соответствии с расписанием внедрения SDP.
2. Убедиться, что ТСП соответствуют PCI DSS путем использования надлежащих инструментов проверки соответствия, включающие onsite-аудиты безопасности, заполнение самоопросников (the self-assessment questionnaire) и сканирования сети.
3. Зарегистрировать ТСП, как только они докажут свое соответствие требованиям положения о программе SDP. Данный процесс регистрации осуществляется непрерывно в течение года с помощью программы регистрации MasterCard (MasterCard Registration Program, MRP). MasterCard отмечает, что регистрация ТСП, соответствующих SDP, бесплатна в программе регистрации MRP, доступной посредством MasterCard OnLine.
Факты о PCI DSSВ конце 2010 г. по заказу Cisco аналитическая компания Insight-Express опросила 500 американских руководителей, принимающих решения в области информационных технологий, чтобы выяснить их отношение к стандарту PCI DSS через пять лет после его разработки и в момент выхода его новой, второй версии.
В опросе приняли участие ИТ-руководители, отвечающие за соблюдение PCI в организациях сферы образования, финансовых услуг, государственного управления, здравоохранения и розничной торговли США. Исследователи хотели оценить их отношение к стандарту PCI DSS, измерить расходы на его внедрение и выявить проблемы, связанные с соблюдением этих нормативных требований, а также оценить распространение определенных технологий, чтобы лучше понять, чем организации руководствуются при выполнении спецификации PCI DSS. Выяснилось следующее:
• 70 % процентов опрошенных считают, что соблюдение стандарта PCI DSS делает их организации более защищенными;
• 87 % процентов опрошенных полагают, что требования стандарта PCI DSS необходимы для защиты данных держателей платежных карт;
• из всех отраслей лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации; розничная торговля самым серьезным образом отнеслась к внедрению и реализации этого стандарта;
• 67 % процентов опрошенных ожидают, что в течение ближайшего года их расходы на соблюдение стандарта PCI DSS будут возрастать; это значит, что руководители компаний и члены советов директоров считают PCI DSS весьма важной инициативой;
• 60 % процентов опрошенных предположили, что усилия по соблюдению стандарта PCI DSS могут стимулировать другие проекты, связанные с сетями и сетевой безопасностью.
Отвечая на вопрос о проблемах соблюдения спецификаций PCI DSS, респонденты чаще всего упоминали необходимость обучения сотрудников правильному обращению с данными держателей платежных карт. По мнению 43 % опрошенных, в этой области существуют проблемы. Кроме того, 32 % упомянули о необходимости обновления устаревших систем.
По мнению респондентов, из 12 требований PCI DSS труднее всего соблюдать требования к отслеживанию и мониторингу всех случаев доступа к сетевым ресурсам и пользовательским данным (37 %), разработке и поддержке безопасных систем и приложений (32 %) и защите хранимых данных держателей карт (30 %).
Еще один интересный отчет Global Security Report 2011 подготовила компания Trustwave, базируясь на данных более чем 200 расследований случаев компрометации данных и около 2300 проведенных тестирований на проникновение (имитаций взлома системы) за 2010 г. по всему миру (но основная масса случаев была зафиксирована в Северной Америке).
Как и раньше, данные платежных карт были основной целью злоумышленников в 85 % расследованных случаев. В 8 % случаев целью была конфиденциальная информация компании и около 3 % — сведения, составляющие коммерческую тайну.
В целом выводы в отчете приводятся следующие:
• более 95 % скомпрометированных организаций не выполняли требования PCI DSS в полном объеме;
• почти 98 % организаций нарушали требования, относящиеся к межсетевому экранированию;
• 60 % случаев компрометации было выявлено в ходе ежегодного аудита по требованиям PCI DSS.
Факты компрометации сами компании выявили не более чем в 20 % случаев, при этом информация о факте компрометации была опубликована в 13 % случаев, а правоохранительные органы привлекались в 7 % случаев.
Среднее время между фактом компрометации и его обнаружением составило 156,5 дня, в случае если выявление происходило в рамках ежегодного аудита, и 87,5 дня, 51,5 дня и 28 дней, в случае если источником обнаружения были публикация в прессе, расследование правоохранительных органов и самостоятельное обнаружение соответственно.
Эти и многие другие цифры красноречиво говорят о том, что реальный уровень безопасности в организациях, обрабатывающих платежи, в среднем достаточно низок, и даже наличие сертификата об успешном прохождении ежегодного аудита по PCI DSS не дает гарантий того, что требования по безопасности продолжат выполнять после того, как проверка закончится[73].