Инвестиции на коленке

попытка непрофессионала самостоятельно заработать на финансовых инструментах



Защита банковских карт — стандарт PCI DSS что это и зачем он нужен.

09 Июл 2009 рубрика: Америка, карточки

skan_b
В финансовой среде довольно активно обсуждается тема сертификации по стандарту PCI DSS. Стандарт PCI DSS (Payment Card Industry Data Security Standard) был разработан в 2005 г. при участии ведущих мировых платежных систем VISA, Master Card, Discover, American Express, Dinners Club и JCB. Организацией Privacy Rights Clearinghouse.org, начиная с января 2005 года было зафиксировано 234 млн. случаев украденных данных о платежных картах и их держателях, в последующем использование этих данных для хищения денежных средств. Основное внимание стандарта уделено обеспечению высокого уровня информационной безопасности пластиковых карт на всех этапах их существования: хранения, обработки и пересылки.
До 2009 года PCI DSS носил рекомендательный характер и организации попадавшие под его требования сами выбирали переходить на него или нет. Теперь эти организации будут подвергаться ежемесячным штрафам, а впоследствии и не будут иметь возможности обрабатывать транзакции всех перечисленных выше платежных систем.
В первую очередь требования стандарта распространяются на финансовые организации, обрабатывающие транзакции, связанные с платежными картами; торговые организации, принимающие платежи, осуществляемые пластиковыми картами; телеком-провайдеры участвующие в процессе обработки транзакций.
Стандарт PCI DSS состоит из 12 требований, каждое из которых отвечает за определенную область, связанную с обеспечением безопасности данных о держателях и самих платежных пластиковых картах. Эти требования выработаны на основе мирового опыта в области защиты информации. В основном они регламентируют доступ и правила обработки критичных данных. Пристальное внимание уделяется и организационной стороне безопасности, затрагиваются вопросы обслуживания и управления элементами информационной инфраструктуры, которые имеют отношение к работе с этими данными.


Для соблюдения требований стандарта разработан процесс сертификации по PCI DSS, который выполняется только сертифицированными организациями, имеющими статус QSA (Qualified Security Assessor), и состоит из нескольких фаз.
С начало присходит начальное обследование, результатом которого становятся отчет о найденных несоответствиях и рекомендации по их устранению. Затем совместно с QSA сертифицируемая организация разрабатывает практический план по устранению несоответствий, с указанием конкретных этапов и сроков. После утверждения этого плана обеими сторонами компания получает время на его реализацию. Сроки, за которые должны быть сделаны исправления, зависят от типа и степени несоответствий, а также от масштаба организации, эта процедура может занять от нескольких месяцев до нескольких лет. В этот процесс может входить — внешнее сканирование уязвимостей и внешние тесты на проникновение. Эти процессы также должны проводить только сертифицированные организации, имеющие статус ASV (Approved Scanning Vendor).
Заключительная фаза — проверка консультантами QSA сделанных изменений и финальный аудит. Делается это непосредственно у заказчика, для того чтобы консультанты QSA были уверены, что все изменения действительно сделаны и состояние соответствия требованиям стандарта достигнуто.
Если все в порядке, то QSA формирует ROC (Report Of Compliance), который отправляет в соответствующую инстанцию платежной системы. После чего выдается соответствующий сертификат.
Но важно не только сертифицироваться по PCI DSS, но и постоянно поддерживать состояние соответствия ему, поэтому далее этот процесс становиться циклическим. Раз в квартал проводиться внешнее сканирование, а раз в год – аудит.

P.S.

Ветеринарная клиника «Биоконтроль» основана 40 лет назад. В клинике занимаются лечением собак, кошек и других животных.

Если вы работаете с вредными и агрессивными химическими веществами, то компания СигмаЛаб предложит вашей фирме вытяжной шкаф. Сами шкафы высочайшего качества, химически-стойкие с куполом из стеклопластика. Также в ассортименте фирмы сушильные шкафы, муфельные печи, влагометры и многое другое. Подробнее можно прочитать на сайте sigma-lab.ru

тэги:



7 комментариев »

  1. Защита! Защита! И ещё раз защита! В наше время очень актуально иметь хорошо защищённые пластиковые карты. Участились случаи взломов банкоматов и подделок. Мой друг лишился, правда не значительной суммы, но всё-же 6000руб., этой весной. Хорошо, нашли злоумышленников.

    Comment by Elenanj — Июль 9, 2009 @ 6:40 пп

  2. Совершенствование безопасности платёжных систем процесс логичный. Только даже несмотря на их высочайший уровень развития в тех же США, они всего лишь снижают уровень мошеннических транзакций.

    Comment by Fdsm — Июль 10, 2009 @ 3:01 пп

  3. «234млн. случаев украденных данных…» — я просто в шоке. Если в каждого украли хотя бы по 100$, тогда выходит фантастическая сумма в 23,4млрд. Очень хорошо, что теперь внедрили эту новую защиту. Теперь количество случаев хищения денежных средств должно уменьшиться.

    Comment by Leonardo — Июль 11, 2009 @ 3:02 дп

  4. я параноик, наверно, но никогда не использую карточки для платежей по интернету. для этих целей у меня есть веб-мани, а карточки я использую только в реале. и обязательно сверяю сумму платежа

    Comment by moleskin — Июль 28, 2009 @ 6:59 пп

  5. Для меня не совсем понятно в чем состоят эти 12 требованиям к карточкам? Все это будет происходить на уровне карточки? Однозначно полезные улучшение, так как все время боятся и мониторить свой счет это не дело, но думаю что с новыми стандартами, буду делать также.

    Comment by socrat — Июль 29, 2009 @ 9:40 дп

  6. Улучшения защиты карточек — необходимы. Очень бы хотелось, чтобы это происходило поскорее и не было растянуто на несколько лет…

    Comment by Василиса — Август 10, 2009 @ 12:06 дп

  7. Все равно, даже если произойдет хищение средств с пластиковой карты, банк практически некогда не орошается за помощью в правоохранительные органы. Причина проста и банальна – Потеря доверия клиентов. Банку легче возместить ущерб одному клиенту, чем попасть в газету под заголовком «Ограбление…» и потерять тысячу потенциальных клиентов.

    Comment by Андрей — Август 10, 2009 @ 10:56 дп

RSS feed for comments on this post. TrackBack URL

Leave a comment

Я не робот.



Рейтинг@Mail.ru