Хотя о стандарте PCI DSS (Payment Card Industry Data Security Standard, он же является стандартом безопасности данных индустрии платежных карт) известно уже очень давно и не только за рубежом, проблемы его «освоения» отечественными компаниями, а именно – выполнение необходимых действий для получения сертификата соответствия требованиям стандарта – существуют и по сей день. Чего скрывать, на всей территории СНГ процент компаний, получивших сертификат соответствия PCI DSS (далее по тексту Стандарт), весьма не велик. Хотя всем известно, что граничные даты прохождения компаниями сертификации, после которых платежные организации (Visa, MasterCard и др.) начинают штрафовать компании, не прошедшие сертификацию, давно установлены, а некоторые из этих дат уже остались в прошлом.

Интересный факт: изначально Стандарт создавался для того, чтобы «подтянуть» уровень торгово-сервисных предприятий (в терминах PCI DSS – мерчанты) в вопросах обеспечения безопасности при обработке данных платежных карт (номер карты, проверочные значения и коды (CVV, PVV, CVV2…), данные магнитной полосы (track 1, track 2) и т.д.). А все потому, что большинство компаний в США (именно оттуда к нам пришел Стандарт), которые обрабатывают, хранят, передают данные, относящиеся к платежным картам (далее по тексту Данные), по уровню безопасности и так соответствуют требованиям Стандарта (к этим компаниям относятся банки, процессинговые центры, а также другие компании, предоставляющие сервисы по обработке, передаче или хранению Данных – в терминах PCI DSS они называются сервис-провайдерами).

У нас же большинство банков не соответствуют требованиям Стандарта, что уже говорить о компаниях-мерчантах и сервис-провайдерах. Как показывает нынешняя ситуация, украинские компании, как и предприятия стран СНГ, только начинают этот нелегкий путь прохождения всех этапов на пути к соответствию требованиям PCI DSS, хотя некоторые из них даже смогли его пройти и получить заветный сертификат.

Итак, какие же камни преткновения стоят перед компаниями на пути внедрения PCI DSS? Попробуем описать те из них, которые являются наиболее общими.

В любой сфере нашей жизни и деятельности, к сожалению, можно выделить объективные и субъективные проблемы. Поэтому попробуем рассмотреть существующие преграды для внедрения PCI DSS именно в таком ключе.

Объективные проблемы

«Начинать всегда тяжело»

Новый стандарт ворвался в Украину молниеносно, не дав компаниям возможность как следует приготовиться к его «употреблению». Дополнительно повлиял кризис осени 2008 года, когда большинству предприятий было совсем не до PCI DSS.

К этому следует добавить «заточенность» Стандарта под американский и европейский рынки и их принципы (относящиеся как к способу ведения карточного бизнеса, так и обеспечению информационной, и не только, безопасности), которые далеко не всегда можно применить к нашим отечественным реалиям.

Вдобавок, положение дел усложняет отсутствие официального перевода PCI DSS на украинский (или хотя бы на русский язык). Проблема, вроде бы, не самая большая, но, как показывает практика, очень актуальная. Ведь все желающие трактуют Стандарт по своему усмотрению, и каждый делает это со знанием «последней инстанции», лучшего перевода технического английского и т. д. На всевозможных форумах, посвященных PCI DSS, даже специалисты в области карточного бизнеса, информационной безопасности обсуждают и много спорят о «трудностях перевода» Стандарта и неоднозначности формулировок.

Все эти обстоятельства в значительной степени затормозили ожидаемый старт работ по PCI DSS, который должен был начаться в отечественных компаниях, подталкиваемых наступлением граничных дат сертификации (вспомним хотя бы дату 31.12.2008 г.) и возможных штрафов за несоответствие Стандарту.

Отсутствие жесткой и понятной политики платежных систем

Невыполнение требований PCI DSS ведет к значительным штрафным санкциям со стороны платежных систем. Но на сегодняшний день далеко не все компании (банки, сервис-провайдеры и мерчанты) начали планировать какие-либо работы по PCI DSS сертификации. И что же в результате? Компании, системы которых попадают в область действия стандарта PCI DSS, по прежнему продолжают выполнять операции по обслуживанию платежных карт без необходимого сертификата, причем, насколько официально известно, никто никого пока не штрафовал.

Платежные организации, которые являются инициаторами стандарта PCI DSS, сформировавшие требования к компаниям по прохождению сертификации PCI DSS и установившие штрафные санкции, не оказывают должной поддержки в вопросах регулирования и необходимости выполнения собственных требований (по крайней мере, на рынке Украины).

Для сравнения обратимся к статистике Visa, которая показывает уровень соответствия требованиям стандарта PCI DSS крупных торгово-сервисных предприятий США за 2008 г. Согласно данной статистике 87% мерчантов уже соответствуют требованиям Стандарта и 13% начали выполнять необходимые действия на пути к соответствию PCI DSS.

Как видно, заинтересованность и уровень поддержки платежных организаций в США на несколько порядков выше, чем в Украине.

Отсутствие четко описанных действий для каждого типа компании на пути к внедрению и сертификации PCIDSS

Идем дальше. Изучая программы безопасности*, которые регламентируют действия, которые надо выполнять, чтобы получить сертификат соответствия PCI DSS, можно заметить, что там не всегда удается найти четкие и понятные определения.

*- AIS (AccountInformationSecurity) - программа безопасности Visa (распространяется на наш регион); SDP (SiteDataProtection) - программа безопасности MasterCard.

Например, самое главное, что там можно отметить — это отсутствие четкой градации по необходимым работам внедрения PCI DSS для банков (эквайеров), банков (эмитентов), банков (эквайеров-эмитентов). Да, программы безопасности содержат фразу: «все организации, которые хранят, обрабатывают или передают данные, относящиеся к платежным картам, должны соответствовать Стандарту», но эта фраза не раскрывает того, что же именно должна выполнять каждая из этих организаций? Кому, например, проходить аудит, а кому тестирование на проникновение?

Более или менее в программах описаны действия, которые необходимо выполнять мерчантам и сервис-провайдерам, но эти действия также не всегда показывают «всю картину». Например, отсутствие конкретных требований в Программах платежных систем по ежегодному прохождению тестирования на проникновение, хотя в Стандарте PCI DSS это требование есть (см. контроль 11.3). Сюда же можно отнести достаточно частые обновления в необходимых действиях в программе безопасности от Visa и очень редкие обновления в программе от MasterCard, что ведет к явной разбалансировке в вопросах выполнения требований этих программ и стандарта PCI DSS.

Резюмируя выше сказанное, необходимо отметить, что существует реальная необходимость в выпуске платежными организациями официального документа, в котором четко были бы прописаны все необходимые действия на пути к PCI DSS сертификации хотя бы для банков (эквайеров, эмитентов, эмитентов-эквайеров) как для «первопроходцев» в области PCI DSS в нашей стране.

Субъективные проблемы

Конечно, субъективных проблем на пути внедрения PCI DSS очень много и все они могут быть различными для различных организаций.

Далее попробуем раскрыть некоторые наиболее распространенные проблемы, исходя из опыта выполненных PCI DSS проектов, а также лучших зарубежных практик PCI DSS сертификации.

Отсутствие бюджета и ресурсов

Проблема № 1. К сожалению, большинство организаций на сегодняшний день (в период кризиса) просто не могут себе позволить выполнять работы по PCI DSS по причине отсутствия необходимых ресурсов.

Отсутствие должной распределенной ответственности среди подразделений организации по проектам внедрения PCI DSS

Стоит признать, что до сих пор во многих организациях нет понимания того, что стандарт PCI DSS – это не нормативный документ для «одного-двух подразделений», это стандарт уровня всей организации. И, к сожалению, сроки реализации проекта, согласования и выполнения работ при аудите, обследованиях и других задачах значительно затягиваются. Причиной тому есть отсутствие распределенной ответственности среди подразделений, а фразы «это не мое», «это не ко мне», «при чем здесь информационная безопасность и сетевые технологии к платежным картам» и т. д. – являются одними из регулярных «атрибутов» при выполнении PCI DSS проектов любого масштаба.

Работа аудиторов и консультантов

Надо признать, я был очень удивлен, когда узнал, что работы по обследованию банка с его распределенной сетью и организацией можно провести всего-то за пару дней. При этом успеть провести интервью с сотрудниками банка, посмотреть необходимые информационные системы, проанализировать документацию, написать отчет и разработать рекомендации. Хотя работает далеко не армия специалистов со статусом QSA**, а всего-то пару аудиторов (и то, в лучшем случае).

** - QSA (QualifiedSecurityAssessor) – статус компании, предоставляющий право выполнять работы по PCIDSS(аудит, заполнение листа самооценки (SelfAssessmentQuestionnaire), аттестационной формы соответствия (AttestationofCompliance)), а также личный статус специалиста-аудитора.

Все бы было хорошо (кому нужны трудности, длительная работа внешних аудиторов внутри компании, немалые цены на услуги) да только сам аудитор не выдает сертификат соответствия, это делают платежные организации. А они могут и не выдать сертификат, если обследование (либо же другой вид необходимых для прохождения сертификации действий) не будет выполнено правильно и в полной мере. Существует документ, который описывает, насколько глубоко аудитор должен «проанализировать» информационные системы организации. Вот и получается, что компания, которая покупает то, что дешевле и быстрее, значительно рискует потерять потраченные на сертификацию деньги, при этом не достигнув ожидаемой цели – сертификата о соответствии Стандарту.

Разнообразие систем, в которых обрабатываются, хранятся, передаются Данные

Во многих случаях сложность выполнения комплексного проекта по сертификации на соответствие требованиям стандарта PCI DSS продиктована нетривиальной архитектурой систем, которые обрабатывают, хранят, передают Данные. Если рассматривать ядро обработки, хранения, передачи Данных – процессинговую комплексную систему с ее подсистемами back- и front-офиса и множеством модулей, то становится, в общем то не по себе: «А сможем ли мы вообще найти и выделить все места, где Данные могут храниться, обрабатываться»? То есть, возможно ли выделить область охвата проекта (Scope)? А это один из основных вопросов, который влияет и на сроки выполнения всего PCI DSS проекта, и на трудозатраты, и, как следствие, на стоимость. Как показывает практика, не всегда сами специалисты организации, работающие с такого рода системой, могут знать, где же там находятся данные. Что уж говорить об аудиторах, которые работают по требуемой PCI DSS методологии и основываются только на общих знаниях о системе клиента да на своем опыте.

Географическое распределение подразделений компании

Ни для кого не секрет, что успешное ведение бизнеса в области, связанной с платежными картами, невозможно без открытия филиальных сетей, новых отделений за пределами Головного офиса (например, в регионах). Но возникают новые трудности по управлению, контролю и безопасности ведения карточного бизнеса, включая и технологическую составляющую процесса. Да, есть много примеров, когда процессинговая система компании (например, банка) функционирует таким образом, чтобы снизить общее влияние региональных подразделений на безопасность Данных. Но зачастую, в своей практике мы сталкиваемся со слабо защищенными системами. В таких случаях, контролировать действия всего филиала в части информационной безопасности (если Головной офис, например, находится в Киеве), а еще и заставить филиал в кратчайший срок сделать все, чтобы внедрить PCI DSS - очень непростая задача.

Но нужно понимать, что в область охвата работ (Scope) по приведению компании в соответствие требованиям Стандарта, при условии децентрализации процессинговой системы, обязательно войдут все филиалы и отделения. Это повлечет увеличение сроков и стоимости выполнения работ по внедрению PCI DSS и получения статуса соответствия, даже с учетом проведения аудитором выборки только нескольких объектов обследования, а в некоторых случаях может поставить под сомнение выполнение всего PCI DSS проекта.

Резюме

Как бы там ни было, но сертифицироваться на соответствие требованиям стандарта PCI DSS необходимо, хотим мы этого или нет. Сложности и проблемы на всех этапах сертификации на соответствие требованиям PCI DSS были и будут всегда. Но очевидно, что решать их можно последовательно, чем раньше, тем лучше, с рациональным планированием и с достаточным использованием ресурсов. Если же бездействовать, то можно дождаться, когда терпение платежных организаций закончится, и они все-таки начнут применять штрафные санкции к нарушителям.

Давайте не думать о плохом. У любой задачи или проблемы существует решение. Ведь дорогу осилит идущий.