Третья версия PCI DSS: лёгкая встряска или серьёзные изменения?

09.06.2015

Оригинал: http://www.journal.ib-bank.ru/post/366
На вопросы BIS Journal отвечает Павел Федоров,
CISA, PCI QSA, PCI PA-QSA, Управляющий партнер Digital Compliance

− На Ваш взгляд, какие тенденции в сфере PCI DSS являются основными, определяющими развитие рынка в ближайшее время?

− На данный момент все банки уже на регулярной основе подтверждают своё соответствие стандарту, при этом всё больше внимания уделяется распределению ответственности за соответствие. Растет популярность соответствующих PCI DSS хостингов, всё больше внимания уделяется соответствию торгово-сервисных предприятий. После того, как эквайеры обеспечили в достаточной мере собственную безопасность и наладили процессы непрерывности соответствия, перед ними встали сразу две задачи: распределение ответственности за безопасность данных с собственными подрядчиками и поддержка соответствия ТСП, за безопасность обработки данных которыми отвечают сами эквайеры. Здесь свою роль сыграло, конечно, распространение третей версии стандарта, которая ещё более подробно описывает механизмы подтверждения распределения ответственности по сравнению с предыдущими релизами. 

− Как повлияло на рынок появление новой версии стандарта PSI DSS 3.0? 

− Помимо легкой встряски, связанной, скорее, с уважительным отношением к новой мажорной версии стандарта, чем с ожиданием серьезных реформ, стоит отметить одну явную тенденцию. Речь идет о серьезных изменениях, затронувших листы самооценки. Появился их официальный перевод на русский язык, содержание было скорректировано, что привело к большому интересу со стороны организаций, ранее относившихся к подтверждению соответствия более формально. Сейчас, когда вышла уже версия 3.1, запрещающая использование небезопасных протоколов типа SSL, перемены стали более массовыми. Несмотря на многочисленные опасения, все актуальные версии популярных браузеров уже сейчас поддерживают те протоколы, которые с точки зрения стандарта являются безопасными, а через год, когда подойдёт дедлайн, ситуация наверняка станет ещё лучше. 

− Какие условия должны выполняться для успешной реализации проектов по PCI DSS? 

− Если речь идёт о первичном достижении соответствия, то это, в первую очередь, понимание необходимости выполнения процедур всеми вовлеченными сотрудниками, как администраторами и пользователями, так и руководством. Именно при условии слаженной и вдумчивой работы команды, а также при наличии необходимых ресурсов на подготовку эта процедура не займёт много времени. Если говорить о продолжении соответствия – то, конечно, важна непрерывность и тщательное выполнение всех процедур. Вообще, по третьей версии стандарта, первоочередная задача для соответствия – это понимание наличия имеющейся собственной инфраструктуры и ресурсов, грамотная их оценка и осознание механизмов работы с платежными картами. Дальнейшие шаги по обеспечению безопасности состоят, в основном, в том, чтобы найти подходящих специалистов для осуществления технического и административного контроля для защиты данных. Таким образом, главная задача – это внимательное отношение к процессам, в которых участвуют платежные карты. 

− Расскажите о развитии практики ИБ-комплаенса в Digital Security. 

− Компания Digital Security активно занимается комплаенс-проектами: раньше было более популярно соответствие ISO 27001, в последнее время основным требуемым стандартом стал PCI DSS, по этому направлению проведено более пятидесяти аудитов за последние три года. Разработчики проявляют всё больше интереса к сертификации по PA-DSS, поскольку оплата банковскими картами приходит сейчас в те области, в которых раньше господствовали разнообразные локальные платежные системы. В связи с появлением 161-ФЗ, в последние пару лет стала расти популярность аудитов на соответствие 382-П, а оценка стала регулярной необходимостью. В целом, развитие во многом зависит от требований регуляторов, а потому те изменения, которые происходят сейчас в связи с НСПК, в целом положительно влияют на отрасль. 

− Как вы пришли к решению создать дочернюю компанию и какие преимущества это решение даст вашему бизнесу?

− Идея выделить комплаенс-практику витала в воздухе давно – уж слишком бизнес, относящийся к комплаенсу, отличается – и по логике, и по модели работы – от основной деятельности компании, знаменитых технических «хакерских» аудитов. Сейчас мы подошли к этому в рамках оптимизации общения с клиентами – и решили сделать этот шаг. Это позволит интенсивнее развивать направление и быть ещё ближе к клиенту, при этом преемственность бренда не даст забыть и о долгой истории, предшествовавшей появлению на рынке компании Digital Compliance. 

− Как будет выглядеть смена организации для ваших клиентов?

− В ближайшее время все новые договоры будут заключаться от лица новой, дочерней компании. При этом аудиты будут проводиться сертифицированными QSA-аудиторами, работающими в QSA-компании Digital Security, согласно внутренним договорам между компаниями. Это будет происходить до того момента, когда все клиенты будут юридически работать с новой компанией, ориентировочно это произойдёт весной 2016 года. После этого статусы QSA и PA-QSA будут переданы компании Digital Compliance. Подобная схема работы одобрена PCI SSC и выглядит достаточно прозрачно для всех наших клиентов. Разумеется, все работы при этом – вне зависимости от того, с какой из компаний заключён договор – выполняют квалифицированные и опытные QSA-аудиторы.