karpov.jpg

Антон Карпов, QSA-аудитор Digital Security

Обсуждению, в основном, подлежат два вопроса:

1. Является ли адекватным поведение МПС (Visa, в ответ на сообщение, удалила Heartland из списка PCI Compliant сервис-провайдеров), ведь если сегодня ты присутствуешь в «белых» списках PCI, а завтра тебя оттуда удаляют, то какова цена этим спискам, то есть статусу PCI Compliant, а значит и самому сертификату.

2. Гарантирует ли стандарт PCI DSS защиту от инцидентов, связанных с компрометацией данных платежных карт. Иначе говоря, вопрос ставится таким же образом: какова цена этому сертификату.

В ответ на первый вопрос хочется обратиться непосредственно к самому стандарту, который сопоставляет уровню сервис-провайдера его обязательства по прохождению сертификации. Среди прочего там перечислены «все сервис-провайдеры, которые были скомпрометированы».  То есть, Visa поступила в строгом соответствии со стандартом, и пострадавшая сторона не сможет считаться PCI Compliant, пока не приведет свою информационную систему в соответствие, устранив бреши в безопасности.

Второй вопрос я намеренно оставил в такой формулировке. Позволю себе процитировать некоторых «экспертов», высказавших свое мнение по поводу обсуждаемого вопроса: «либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты». Вообще, само понятие «стандарта, гарантирующего защиту» звучит довольно странно и напоминает известную шутку про вероятность встретить на Невском проспекте НЛО - ровно 50% («либо встретите, либо нет»). К сожалению, кроме шуток, часто приходится наблюдать непонимание разницы между терминами «соответствие» (compliance) и «проверка соответствия» (validation). Вместе с тем очевидно, что первое означает континуальный процесс, который должен поддерживаться в течение времени, а стандарт PCI DSS лишь предъявляет ряд требований к этому процессу. QSA-аудитор же может только зафиксировать факт выполнения этих требований в отдельных момент времени, т.е. выполнить проверку соответствия. Если сразу после того, как за аудитором захлопнулась дверь, проверяемая организация отключила антивирусные средства или убрала систему обнаружения вторжений, повышается в таком случае риск компрометации? Очевидно, что да. Является ли это упущением стандарта PCI DSS и говорит ли о его непригодности? Очевидно, что нет.  

Поэтому когда мы говорим о том, какова цена сертификату и коррелирует ли его наличие с величиной риска, довольно глупо обращаться за аргументами к «истории неудач». Вместо этого не следует забывать, что все зависит главным образом от того, насколько грамотно выполнены требования стандарта и как хорошо налажен процесс контроля и управления безопасностью, диктуемый этим стандартом.