А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

Рейтинг:

• 80
• 1
• 2
• 3
• 4
• 5

Название:

Безопасность карточного бизнеса : бизнес-энциклопедия

Автор:

А. Алексанов

Издательство:

Московская финансово-промышленная академия; ЦИПСиР

Жанр:

О бизнесе популярно

Год:

2012

ISBN:

978-5-4257-0018-6

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Безопасность карточного бизнеса : бизнес-энциклопедия"

Описание и краткое содержание "Безопасность карточного бизнеса : бизнес-энциклопедия" читать бесплатно онлайн.

В целом выводы в отчете приводятся следующие:

• более 95 % скомпрометированных организаций не выполняли требования PCI DSS в полном объеме;

• почти 98 % организаций нарушали требования, относящиеся к межсетевому экранированию;

• 60 % случаев компрометации было выявлено в ходе ежегодного аудита по требованиям PCI DSS.

Факты компрометации сами компании выявили не более чем в 20 % случаев, при этом информация о факте компрометации была опубликована в 13 % случаев, а правоохранительные органы привлекались в 7 % случаев.

Среднее время между фактом компрометации и его обнаружением составило 156,5 дня, в случае если выявление происходило в рамках ежегодного аудита, и 87,5 дня, 51,5 дня и 28 дней, в случае если источником обнаружения были публикация в прессе, расследование правоохранительных органов и самостоятельное обнаружение соответственно.

Эти и многие другие цифры красноречиво говорят о том, что реальный уровень безопасности в организациях, обрабатывающих платежи, в среднем достаточно низок, и даже наличие сертификата об успешном прохождении ежегодного аудита по PCI DSS не дает гарантий того, что требования по безопасности продолжат выполнять после того, как проверка закончится[73].

Организации индустрии платежных карт разрабатывают общий стандарт, регулирующий в том числе аспекты безопасности устройств ввода ПИН-кодов (PIN entry devices, PEDs). Требования к таким устройствам регламентируют методологию тестирования устройств и процесс утверждения сертифицированных устройств и включают требования по защите ПИН-кодов.

Задача PCI PED — удостовериться в том, что устройство, принимающее ПИН-код, обеспечивает защиту чувствительной информации, такой как резидентные ключи, ПИН владельца пластиковой карты и др.

Цель требований заключается в обеспечении единого, последовательного и точного стандарта для всех устройств ввода ПИН-кодов по всему миру.

Программа тестирования и утверждения устройств ввода ПИН-кодов отражает стандартный набор:

• требования безопасности к устройствам;

• методологию тестирования;

• процесс сертификации и утверждения.

Требования Стандарта безопасности данных платежных приложений (PA DSS) являются производными от требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) и Процедур аудита безопасности PCI DSS (PCI DSS Security Audit Procedures). Эти документы, с которыми можно ознакомиться на сайте[75], содержат подробное описание требований безопасности данных, которые торгово-сервисные предприятия и сервис-провайдеры должны соблюдать для соответствия стандарту PCI DSS (следовательно, какое приложение платежной системы необходимо использовать для обеспечения соответствия этому стандарту).

Стандарт PCI DSS обычно не распространяется на производителей приложений платежных систем, поскольку большинство производителей не выполняют хранение, обработку и передачу данных о держателях карт. Однако поскольку приложения платежных систем используются клиентами для хранения, обработки и передачи данных о держателях карт, а клиенты должны соблюдать требования стандарта PCI DSS, то приложения платежных систем должны соответствовать требованиям стандарта PCI DSS и не нарушать их.

Ниже приведены несколько способов использования приложений платежных систем, при которых требования стандарта PCI DSS нарушаются:

• хранение данных магнитной полосы карты в сети клиента после авторизации;

• использование приложений, для корректной работы которых требуется отключение клиентами программного обеспечения, которое должно применяться для соблюдения требований стандарта PCI DSS, например, антивирусных программ или межсетевых экранов;

• использование производителями незащищенных методов подключения к этим приложениям для технической поддержки клиента.

При использовании в среде, соответствующей требованиям стандарта PCI DSS, защищенных приложений платежных систем уменьшается вероятность нарушения безопасности, приводящая к компрометации полных данных магнитной полосы, кодов проверки подлинности карты (CAV2, CID, CVC2, CVV2), ПИН-кодов и ПИН-блоков и, в результате, к осуществлению хакерами мошеннических операций.

Внедрение стандарта PCI DSS в России идет непросто. Во многих банках оно находится в активной фазе[76], но ряд крупных банков еще даже не начинали активных действий по внедрению стандарта. Почему же сложилась такая ситуация — ведь стандарт является обязательным для российских компаний аж с далекого 2007 г.?

Автору с 2007 по 2011 г. удалось понаблюдать (с позиции сертифицированного аудитора QSA), как трудно происходит проникновение стандарта в умы и бюджеты банков и сервисных провайдеров в России и странах СНГ. Основных причин возникающих проблем, по мнению автора, несколько.

1. Относительно низкий уровень обеспечения информационной безопасности и управления ИБ в большинстве российских банков по сравнению с банками Западной Европы и США.

На момент сдачи книги в печать.

Исторически сложилось так, что подавляющее большинство российских банков строили свои системы обеспечения и управления ИБ, ориентируясь в первую очередь на нормативные документы и лучшие практики ФСТЭК, ФСБ, которые были разработаны без учета современного уровня развития информационных технологий и повсеместного проникновения Интернета и мобильной связи. При этом часть современных угроз безопасности остаются «незакрытыми».

Перестройка же системы управления безопасностью по новым, процессно-ориентированным западным стандартам менеджмента представляет собой очень сложную задачу. В итоге внедренные суперсовременные системы мониторинга безопасности, анализа защищенности, обнаружения вторжений и т. п., разработанные западными вендорами с прицелом на западные системы менеджмента безопасности, в российских условиях начинают работать с меньшей эффективностью, не так, как было задумано производителем.

2. Многократный перенос сроков внедрения стандарта и отсутствие фактов наложения штрафов за несоответствие стандарту PCI DSS для российских банков в совокупности с небезызвестным российским менталитетом.

Совершенно понятна позиция платежных систем, заключающаяся в том, чтобы «не рубить сук, на котором сидишь», т. е не трогать банки, приносящие хороший доход платежной системе. Очевидно, это понимают и банки, позиция руководства которых в этом вопросе может быть довольно резка. «Пусть попробуют штрафануть — уйдем в другую платежную систему», «Пока кого-нибудь из топ 20 не оштрафуют, мы на это деньги тратить не будем», «Да мы входим в правление платежной системы, пусть попробуют нам что-нибудь сказать», «Сроки уже три раза переносили, так и еще перенесут скорее всего» — это реальные высказывания серьезных банков образца 2007–2008 гг. Ближе к 2011 г. большинство банков смирились с необходимостью рано или поздно соответствовать стандарту и начали движение в сторону его изучения и выполнения требований.

В неофициальных беседах представители платежных систем также подтверждают, что санкции начнут применять тогда, когда основная масса банков достигнет соответствия стандарту. Да и в нормативных документах сказано, что члены платежных систем МОГУТ быть оштрафованы за нарушение требований программы соответствия. «Могут» не означает «обязательно будут». Вот все и ждут, пока кого-нибудь (видимо, не очень крупного) не оштрафуют в назидание всем и, может быть, даже лишат лицензии.

3. Относительно низкий уровень мошенничества в российском сегменте сети Интернет и отсутствие публичных серьезных утечек информации в процессинговых центрах российских банков.

Ни для кого уже не секрет, что существенную часть подпольного карточного бизнеса контролируют выходцы из России и стран СНГ, в первую очередь Украины. До недавнего времени существовало негласное правило не трогать банки в своем регионе — в основном не из патриотических, конечно, убеждений, а исходя из вопросов личной безопасности — ведь достать же могут и правоохранительные органы, и службы безопасности банков, что может быть хуже. Тем более когда через Интернет легко получить доступ к базам данных мерчантов и процессинговых компаний США, Европы. Карточные лимиты у клиентов западных банков побольше, а уровень взаимодействия российских правоохранительных органов с зарубежными далек от совершенства. В результате мошенничество по картам на территории России в основном сводится к скиммингу в банкоматах и получению наличных с использованием поддельных карт. А если и взломают какой процессинг — так не для получения данных платежных карт, а скорее для устрашения и передела нелегального рынка.