Итоги Международной конференции по безопасности данных индустрии платежных карт PCI DSS Russia 2010

01.04.2010

17 марта в Москве прошла Международная конференция по безопасности данных индустрии платежных карт PCI DSS Russia 2010. Данная конференция является уникальной площадкой для обмена накопленным опытом между участниками индустрии платежных карт и служит для совершенствования взаимодействия и определения путей достижения общих целей среди международных платежных систем, консультантов в области PCI DSS и представителей банковского сектора.

Конференция была организована компанией Digital Security, Ассоциацией Российских членов Европей и Сообществом профессионалов PCIDSS.RU при официальной поддержке Международных платежных систем Visa и MasterCard.

1.jpg

В конференции приняли участие руководители кредитных организаций, торгово-сервисных предприятий, специалисты в области информационной безопасности, менеджеры по управлению информационными рисками, руководители процессинговых центров и дата-центров, специалисты по операциям с платежными картами. Всего на конференции присутствовали более 150 представителей от порядка 90 различных организаций.

«Мы рады, что конференция собрала широкую аудиторию и вызвала интерес не только у представителей платежной индустрии, но и у ритейлеров. Сегодня перед рынком стоят новые задачи в области защиты персональной информации, и появление профессиональной площадки для обсуждения этих вопросов очень своевременно. Учитывая, что соответствие стандарту PCI DSS – это постоянный процесс, мы рассчитываем и в дальнейшем использовать различные форматы взаимодействия с представителями отрасли, включая проведение конференций, семинаров, встреч рабочих групп, участие в которых будет интересным и полезным не только банкам, но и торговым компаниям, розничным сетям, процессинговым центрам, сервисным организациям – всем, кто работает с данными клиентов», – отметил Андрей Соболев, представитель Ассоциации российских членов Europay в Международном Совете по стандартам безопасности индустрии платежных карт PCI SSC.

2.jpg 3.jpg

Начало конференции ознаменовалось открытием секции, посвященной вопросам достижения PCI соответствия с точки зрения регуляторов, где тема была подробно освещена представителями Visa и MasterCard, а также Ассоциации Российских Членов Европей.

4.jpg

Данная секция вызвала большой интерес у специалистов компаний-участников индустрии платежных карт, и позволила им задать все интересующие вопросы представителям международных платежных систем, а также обсудить ключевые моменты об основных требованиях их программ повышения безопасности и сроках реализации мероприятий по достижению соответствия PCI DSS.

«Мне было приятно встретить большой интерес со стороны банков, процессинговых центров, вендеров и торгово-сервисных предприятий к стандартам PCI DSS, а также познакомить их с основными этапами реализации программы Account Information Security. Данное мероприятие способствует развитию безопасности российского банковского рынка в соответствии с международными стандартами. Хотелось бы выразить надежду на дальнейшее плодотворное сотрудничество», – отметил Павел Стромский, начальник управления информационными рисками Visa в России.

В рамках конференции были обсуждены такие вопросы, как путь к PCI соответствию с точек зрения QSA-аудитора и системного интегратора, как с организационной, так и технической стороны. В данной секции с докладом «Часто задаваемые вопросы на пути к PCI соответствию» выступил Сергей Шустиков (Digital Security), обратив внимание на наиболее актуальные вопросы, с которыми сталкиваются компании при реализации проектов по PCI DSS. Александр Бондаренко (LETA IT-company) рассказал о «PCI соответствии с точки зрения интегратора» - то есть об этапах внедрения PCI-проекта и ролях в нем всех его участников.

5.jpg 6.jpg

В рамках конференции специалисты Digital Security подняли ряд вопросов, касающихся технической составляющей процесса достижения соответствия требованиям стандарта. Так Илья Медведовский рассказал об особенностях проведения тестов на проникновение и основных заблуждениях при их выполнении в докладе «PCI DSS – основные заблуждения при проведении тестов на проникновение». Он в очередной раз подчеркнул, что тестирование на проникновение не является сканированием, которое также необходимо, но служит для выполнения другого требования стандарта, а также рассказал о программе поддержки качества, реализуемой Советом PCI SSC для повышения уровня оказываемых QSA-аудиторами услуг. Александр Поляков в докладе «Технические аспекты достижения PCI соответствия» рассказал о том, что, зачастую, ключевым моментом для корректного выполнения требований служит понимание целей требования, а также привел ряд примеров, на которых подробно рассмотрел процесс выполнения ряда требований PCI DSS.

7.jpg 8.jpg

Живой интерес у посетителей конференции вызвал доклад «Путь к PCI соответствию с точки зрения кредитных организаций» Александра Кузнецова, представителя компании UCS (United Card Service), в котором Александр поделился своим опытом реализации проекта по достижению соответствия стандарту PCI DSS и его поддержанию.

9.jpg

В отдельную специализированную секцию были вынесены доклады, посвященные безопасности платежных приложений, систем ДБО и применению стандарта PA-DSS. Алексей Синцов (Digital Security) рассказал о «Практических аспектах оценки защищенности систем ДБО», отметив, какие уязвимости в широко используемых в СНГ банк-клиентов являются типовыми и лишний раз обратил внимание на важность и необходимость их устранения ввиду высокой критичности информации, которая циркулирует в системах ДБО. Одним из немаловажных вопросов для участников конференции (среди которых также были компании – разработчики платежных приложений), который поднял Александр Поляков (Digital Security) в докладе «Ключевые особенности сертификации по PA-DSS», был вопрос решения задачи выполнения требований стандарта PA-DSS, распространяющихся на платежные приложения. Данная секция позволила взглянуть на вопросы информационной безопасности в среде платежных карт не только с точки зрения соответствия информационной инфраструктуры станда там, а также с учетом специфики и уязвимостей широко используемого программного обеспечения.

10.jpg

Завершил конференцию Игорь Голдовский, представитель компании Payment Technologies, выступив с докладом, посвященным различным видам мошенничества в индустрии платежных карт и важности учета данного аспекта при реализации проектов, направленных на повышение уровня безопасности в индустрии платежных карт.

11.jpg

Прошедшая конференция позволила участникам не только прослушать доклады от ведущих представителей индустрии платежных карт, но и пообщаться между собой на наиболее насущные темы. Как отметил Станислав Павлунин, представитель компании «Тройка Диалог»: «Конференция по PCI DSS была очень интересна и полезна, она была одним из самых интересных событий за последнее время. Доклады и тезисы, озвученные на ней, тоже очень содержательные».

Генеральным медиа-партнером конференции выступил журнал «ПЛАС», оказав мероприятию всестороннюю информационную поддержку. Генеральным спонсором конференции стала компания LETA IT-company.

12.jpg

«На наш взгляд, конференция стала уникальной площадкой для общения и обсуждения актуальных вопросов между представителями регуляторов (платежных систем VISA, MasterCard), профессионалов в области PCI DSS, а также представителей организаций, работающих с платежными технологиями -банков, ритейлеров, сервис-провайдеров, разработчиков программных продуктов и прочих», – отметил Александр Бондаренко, представитель LETA IT-company.

«Мы рады, что прошедшая конференция, которая впервые проводилась в России и странах СНГ в подобном формате при официальной поддержке VISA и MasterCard, вызвала живой интерес у представителей ведущих российских компаний – участников индустрии платежных карт. Мы надеемся, что проведение данной конференции станет хорошей традицией для представителей карточного бизнеса и в дальнейшем послужит площадкой для обмена опытом участвующих в нем специалистов в области безопасности данных индустрии платежных карт. Поэтому от лица организаторов я бы хотел заранее пригласить всех специалистов на PCI DSS RUSSIA 2011», – сказал Илья Медведовский, директор компании Digital Security.

Все материалы конференции доступны на сайте конференции.