По словам Боба Руссо, спецификации PCI DSS 2.0 должны конкретизировать требования, предъявляемые отраслью платежных карт к корпоративным системам безопасности

По словам Боба Руссо, генерального менеджера совета по стандартам безопасности PCI Security Standards Council, существенных изменений по сравнению с действующим стандартом DSS 1.2 сюда вносить не планируется. Однако спецификации DSS 2.0 должны конкретизировать требования, предъявляемые отраслью платежных карт к корпоративным системам безопасности.

Наиболее интересными представляются рекомендации, связанные с оценкой PCI границ области хранения конфиденциальных данных держателей карт и выделением внутри сети сегментов, которые должны соответствовать требованиям стандарта безопасности данных PCI. Сегодня основная трудность заключается в том, что компании, отвечающие за управление данными держателей карт, не имеют четкого представления о том, где на самом деле должны располагаться ресурсы.

"Нам говорят, что данные иногда находят в самых отдаленных уголках сети, причем никто не имеет никакого понятия о том, как они там очутились, — заметил Руссо. — Нужна методология, регламентирующая процедуру поиска данных держателей карт, а также рекомендации, в которых были бы прописаны технологии предотвращения потери данных и перечислены инструменты, помогающие эти данные  отыскать".

Дискуссия по вопросам виртуализации ведется уже много лет. В этой связи возникает вопрос, как соотносится раздел DSS 2.2.1, призывающий к выполнению каждым сервером только одной, главной функции, с виртуализацией данных PCI?

"Конечно, мы не собираемся запрещать использовать виртуальные среды, — сообщил Руссо. — Хотя стандарт PCI DSS 2.0 и должен внести определенную ясность в вопросы виртуализации, более глубокая дискуссия по этому поводу развернется при обсуждении отдельного документа, который должен быть принят в будущем году.

Еще один важный момент  — это сквозное шифрование данных держателей карт. Необходимо принять эффективные меры к отражению кибератак, направленных на массовое хищение реквизитов платежных карт.

В то же время совет пока не планирует проводить какие-то границы, переступать за которые будет запрещено.

"Никому никаких рекомендаций мы давать не собираемся, — заявил Руссо. — Если вы введете у себя дополнительные уровни безопасности — хорошо". В новую версию стандарта может быть включено руководство по использованию сквозного шифрования в рамках выполнения уже существующих требований PCI.

Совет не будет вводить требований, обязывающих компании тратить дополнительные суммы. "Мы не можем заставлять людей вкладывать деньги в технологии", — указал Руссо.

В настоящее время совет находится в довольно неудобной ситуации, продолжая обсуждать меры безопасности, которые соответствовали бы требованиям PCI, в то время как поставщики уже называют имена сертифицированных ассессоров (qualified security Assessor, QSA), получивших право проводить оценку соблюдения организациями норм PCI. (По некоторым данным, стоимость полномасштабного ежегодного аудита в настоящее время доходит до 225 тыс. долл.)

Как ассессорам, так и организациям, подвергаемым проверке на соответствие требованиям PCI, необходимо четко понимать точку зрения совета, поскольку, вкладывая значительные средства в технологии и процедуры, они рискуют навлечь на себя обвинения в несоблюдении действующих норм.

"Мы будем участвовать в процессе, — подчеркнул Руссо. — Но, помогая принимать решения, совет ставит себя в опасное положение".

В новом стандарте PCI DSS 2.0 содержатся разъяснения требований, включенных в действующий вариант DSS. Например, в разделе 8.5, где обсуждается надежность паролей, поясняется, что все это не имеет отношения к людям, которые находятся за кассовым аппаратом или торговым терминалом.

Как только текст нового стандарта PCI DSS 2.0 будет готов, начнется его обсуждение на заседаниях совета. Одно из таких заседаний пройдет в сентябре в Орландо. Официальное завершение работ по созданию стандарта DSS 2.0 запланировано на конец октября. Новый стандарт должен вступить в силу 1 января будущего года.