17 марта в Москве в гостинице Courtyard by Marriott Moscow City Center прошла Международная конференция по безопасности данных индустрии платежных карт – «PCI DSS Russia 2010».

Организаторами конференции стали компания Digital Security – ведущая российская консалтинговая компания в области управления информационной безопасностью, Ассоциация Российских Членов Европей и Сообщество профессионалов PCIDSS.RU. Генеральным интернет-партнером выступил портал Bankir.ru.

Основной целью конференции стало совершенствование взаимодействия международных платежных систем, консультантов в области PCI DSS и участников индустрии платежных карт, в том числе представителей банковского сектора.

В ее работе приняли участие Илья Медведовский, директор компании Digital Security, Евгений Балезин, советник президента Ассоциации Российских Членов Европей, Андрей Соболев, представитель Ассоциации Российских Членов Европей в Международном Совете по стандартам безопасности индустрии платежных карт PCI SSC, Михаил Хрущев, региональный менеджер по вопросам безопасности и рисков стран Восточной Европы, СНГ и стран Балтии «MasterCard International, Павел Стромский, менеджер по борьбе с мошенничеством платежной системы Visa по России и СНГ, Александр Бондаренко, руководитель отдела внешнего аудита и консалтинга, другие представители индустрии платежных карт - кредитных организаций, процессинговых центров, дата-центров и других поставщиков услуг в сфере информационных технологий, а также торгово-сервисных предприятий.

hrushev500.jpg

Выступает Михаил Хрущев, региональный менеджер по вопросам безопасности и рисков стран Восточной Европы, СНГ и стран Балтии.

Стандарт безопасности данных индустрии платежных карт PCI DSS, объединивший в себе требования международных платежных систем к обеспечению информационной безопасности, был разработан советом PCI SSC. В него вошли такие карточные брэнды как Visa, MasterCard, JCB, American Express и Discovery.

Стандарт PCI DSS описывает требования к защите данных о держателях карт, сгруппированные в двенадцать тематических разделов. Основной акцент стандарт PCI DSS делает на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах. Кроме того, стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга. Важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности.

Требования стандарта PCI DSS распространяются на банки, торгово-сервисные предприятия, поставщиков технологических услуг и другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платежных карт. Этим организациям следует озаботиться такими вопросами, как выделение платежной инфраструктуры в отдельный сегмент, защита хранящихся и обрабатываемых карточных данных, создание эффективной системы менеджмента информационной безопасности и другими аспектами приведения в соответствие требованиям стандарта своей информационной инфраструктуры.

Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям. Правила проверки соответствия различаются в зависимости от вида организации и ежегодного количества обрабатываемых в ее инфраструктуре карточных транзакций. Внешний аудит на соответствие требованиям стандарта может выполнять компания, обладающая статусом QSA, подготовленные такой компанией отчеты о соответствии принимаются международными платежными системами.

Недавно Совет PCI SSC предпринял некоторые действия в направлении разработки новой версии стандарта. А, кроме того, приступил к разработке технологий, которые помогут торгово-cервисным предприятиям (ТСП) снизить уровень риска без использования слишком сложных, либо слишком дорогих средств. Суть разработки состоит в том, что поставщики оборудования или аутсорсинговые компании будут поставлять решения, которые позволят уменьшить область оценки PCI на стороне ТСП или даже полностью устранить необходимость соответствия PCI. Данное решение, однако, будет в основном распространяться на магазины и, следовательно, не будет применимо для других типов предприятий, которые в настоящее время подпадают под требования стандарта PCI DSS. Некоторые из предлагаемых на рынке решений не будут устранять риск кражи кредитных карт. Вместо этого возможные риски будут перенесены на сторону разработчика решения или на сервис-провайдера.

medvedovski200.jpg

Илья Медведовский, директор компании Digital Security.

Отрывая конференцию, Илья Медведовский, директор компании Digital Security, отметил, что организаторы уверены, что это мероприятие станет важным этапом внедрения стандарта PCI DSS в России и странах СНГ. Официальная поддержка и участие Visa и MasterCard и ведущих экспертов Сообщества PCIDSS.RU позволит получить российскому банковскому сообществу всю наиболее актуальную информацию, касающуюся стандарта PCI DSS, от первоисточников.

Андрей Соболев, представитель АРЧЕ в Международном Совете по стандартам безопасности индустрии платежных карт PCI SSC заявил: «Мы рассматриваем конференцию как отличную возможность для российских банков, поставщиков программно-аппаратных решений, процессоров и, конечно, представителей розничных торговых компаний присоединиться к мировому сообществу участников индустрии платежных карт, включиться в процесс дальнейшего развития, совершенствования и внедрения стандартов безопасности в области защиты персональной информации».

sobolev500.jpg

Выступает Андрей Соболев, представитель Ассоциации Российских Членов Европей в Международном Совете по стандартам безопасности индустрии платежных карт PCI SSC