Международная конференция PCI DSS Training прошла при поддержке Совета PCI SSC

Главным гостем мероприятия, прошедшего 2 и 3 июля 2015 года в Санкт-Петербурге, стал Джереми Кинг – международный директор Совета по стандартам безопасности индустрии платежных карт (Совета PCI SSC). В период становления в России национальной системы платежных карт (НСПК) визит столь высокого гостя со стороны международного отраслевого регулятора стал знаковым – Совет заинтересован в гармонизации требований международных и отраслевых стандартов безопасности данных платежных карт.

Пленарная часть, доклады участников конференции и секция вопросов и ответов состоялись в первый день мероприятия. Доклады первого дня затронули такие темы, как официальный русскоязычный перевод стандарта PCI DSS, согласованный с российским сообществом специалистов по защите информации и национальными нормативными документами, оптимизация затрат на обеспечение соответствия стандартам информационной безопасности, разработка безопасного программного обеспечения и поиск компромиссов между интересами его заказчиков, разработчиков и безопасников, запрет на использование протоколов SSL и ранних версий TLS с середины 2016 года. Мастер класс по взлому платежной инфраструктуры, проведенный в этот день специалистами компании Deiteriy, развеял романтический миф о хакерах, как о гениях, встречающихся только в кино, – при сегодняшнем уровне беспечности большинства администраторов и программистов взлом процессинга, платежного шлюза или интернет-магазина представляет собой вполне тривиальную задачу.

Доклад Джереми Кинга вызвал живой интерес аудитории. Участники задали гостю множество вопросов в зале после доклада, в кулуарах, а также на секции «Задай вопрос Джереми» в конце дня. Наиболее популярными оказались вопросы о перспективах взаимодействия Совета PCI SSC и международных платежных систем с российской национальной системой платежных карт – НСПК. Джереми заявил о готовности к сотрудничеству и подчеркнул, что такая работа уже ведется. Например, последние два года активно идет совместная работа Совета PCI SSC, некоммерческого партнерства АБИСС и компании Deiteriy по официальному переводу стандартов на русский язык. Эта работа делается с прицелом на гармонизацию требований российских и международных стандартов и правил. Джереми также отметил, что такое сотрудничество с российскими организациями он считает образцовым, и даже приводит его в пример представителям других стран, например, Японии.

Второй день конференции прошел в формате обучающего семинара «Управление соответствием PCI DSS». Участники семинара получили возможность детально изучить контекст стандартов безопасности индустрии платежных карт, область применимости стандарта PCI DSS и методы ее сокращения, ключевые требования данного нормативного документа и оптимальные способы обеспечения безопасности данных платежных карт. Также были подробно рассмотрены различные способы подтверждения соответствия требованиям PCI DSS и их применимость к организациям различных типов – от простого листа самооценки для небольших интернет-магазинов, до полноценного QSA-аудита для тех, кто работает со значительным количеством платежных карт.

Обращаясь к организаторам мероприятия Джереми Кинг заявил: «Мне было особенно приятно, что конференция, которую вы организовали, оказалась настолько успешной и хорошо посещаемой. Для меня было большим удовольствием выступить перед собравшимися, и я надеюсь, что все участники извлекли из конференции пользу и новые знания».

«Я рад, что наша работа оценена Советом PCI SSC столь высоко, – отметил Евгений Безгодов, глава комитета по адаптации международных стандартов АБИСС и исполнительный директор компании Deiteriy, – в ней приняло участие множество профессионалов. Сегодняшний интерес к стандарту и вопросы, заданные из зала, свидетельствуют о том, что мы делаем нужное дело».

«Конференция оказалась очень интересной. Я получил много полезной информации и благодарен организаторам за то, что в программе мероприятия не было ни одного рекламного доклада. Особенно ценной для меня оказалась информация о новом стандарте PCI P2PE» – сказал Сергей Петраков, руководитель службы информационной безопасности ООО «Топливная процессинговая компания».

Спонсором мероприятия выступила российская QSA-аудиторская компания Deiteriy, конференция прошла при информационной поддержке НП АБИСС, Академии Информационных Систем и сообщества специалистов по информационной безопасности RISC.

PCI Security Standards Council, LLC - Совет по стандартам безопасности данных индустрии платежных карт — это открытое глобальное сообщество, в задачи которого входят постоянная разработка, совершенствование, хранение, распространение и практическое внедрение стандартов безопасности банковских данных. Миссия Совета состоит в повышении безопасности данных индустрии платежных карт посредством обучения и информирования о стандартах безопасности PCI. Организация была учреждена международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard и Visa, Inc.

Deiteriy — поставщик услуг информационной безопасности — обладает статусами PCI QSA и PCI PA-QSA, является организацией-аудитором НП АБИСС и членом технического комитета по стандартизации «Защита информации» (ТК 362). Аудиторские заключения Deiteriy, выполненные по стандартам PCI DSS и PA-DSS признаются международными платёжными системами Visa, MasterCard, American Express, Discover и JCB, а по стандарту СТО БР ИББС и Федеральному Закону Российской Федерации № 161-ФЗ «О национальной платёжной системе» - Банком России. Компания обладает лицензией ФСТЭК России на выполнение работ по технической защите конфиденциальной информации, в том числе персональных данных в соответствии с Федеральным Законом Российской Федерации № 152-ФЗ «О персональных данных».

Некоммерческое партнерство Сообщество пользователей стандартов по информационной безопасности «АБИСС», является некоммерческой организацией, основанной на принципах добровольного объединения ее членов – субъектов предпринимательской и профессиональной деятельности, обеспечивающих информационную безопасность в кредитно-финансовых организациях Российской Федерации, а также оказывающих услуги в области обеспечения информационной безопасности, созданное в целях реализации стандартов и правил, направленных на обеспечение информационной безопасности в кредитных и других организациях Российской Федерации.