Илья Медведовский считает, что сроки внедрения PA DSS будут перенесены, как это было сделано со штрафами за отсутствие сертификата PCI DSS |
Видимо, такой состав участников обусловлен тем, что пока международные платежные системы (Visa и MasterCard) настаивают на прохождении процедуры сертификации PCI DSS в основном банками. Однако они в самое ближайшее время собираются заняться и продавцами.
Крайней датой для обязательного внедрения механизмов PCI DSS для процессинговых компаний и банков было названо 30 сентября 2010 года. Хотя прошло уже почти полгода с этой даты, пока ни к одному из участников системы в России не было предъявлено никаких штрафных санкций. Тем не менее представители Visa и MasterCard, заявляют, что их специалисты сейчас собирают информацию о деятельности банков в области сертификации на соответствие PCI DSS, и в какой-то момент штрафные санкции все-таки могут быть применены. В частности, MasterCard говорит о годовой отсрочке, после которой, если банки не представят сертификата или хотя бы плана по его получению, то с их счета в системе будет каждые полгода списываться по 25 тыс. долл. Visa тоже придерживается политики постепенного увеличения давления на пользователей платежных систем. Со временем обе компании примутся за торговые предприятия, которые используют для расчетов в своих магазинах банковские карты и по идее должны проходить сертификацию на соответствие стандарту PCI DSS.
Следует отметить, что стандарт PCI DSS довольно прост — он содержит всего 12 обязательных требований, в том числе: наличие межсетевых экранов, антивирусов и систем контроля утечек; организация защиты пользовательских данных и каналов связи; внедрение систем контроля доступа и физической безопасности; фиксирования действий сотрудников и пользователей; построение системы расследования инцидентов и проведение тестов на проникновение. Это минимальные требования по обеспечению безопасности информационных систем. Если в указанные сроки компания не может полностью выполнить требования стандарта, то временно любое требование можно компенсировать некими организационными мерами. Однако впоследствии количество подобных компенсационных мер должно уменьшаться и проверки на соответствие стандарту компания должна регулярно повторять.
Сейчас на повестке дня стоит внедрение другого стандарта из серии DSS — Payment Application (PA). Этот стандарт описывает требования к разработке программного обеспечения, которое свободно продается на рынке и тоже связано с использованием карточных платежей. Стандарт предполагает наличие у разработчиков технологий разработки безопасного кода, процедур тестирования и исправления ошибок как в период первоначальной разработки продуктов, так и в дальнейшем для исправления найденных уязвимостей. Этот стандарт также предусматривает проведение независимого аудита кода платежных приложений.
Одно из требований PCI DSS — использование только безопасных приложений в платежных системах. При этом очень скоро под безопасными приложениями будут пониматься только те программы, которые имеют сертификат PA DSS. Пока такое требование является необязательным, однако с 30 сентября 2011 года оно станет существенным при прохождении сертификации на PCI DSS. Илья Медведовский, директор компании Digital Security, считает, что сроки внедрения PA DSS будут перенесены, примерно так же, как это было сделано со штрафами за отсутствие сертификата PCI DSS. Наиболее крупные производители программного обеспечения уже получили необходимые сертификаты PA DSS, в целом же система еще не готова для массовой сертификации небольших производителей. Тем не менее на конференции отмечалось, что платежные системы будут постепенно усиливать давление и на своих пользователей — банки и розничную торговлю, а также на производителей программного обеспечения для повышения безопасности карточных транзакций.