6 мая, 2014, BIS Journal №1(12)/2014

Критика PCI DSS с точки зрения российского банка


Пятиизбянцев Николай

начальник отдела платёжных систем департамента защиты информации (ОАО «Газпромбанк»)

Повышать защищённость банковских карт нужно, совершенствуя EMV и 3D Secure, а не пытаясь продлить жизнь безнадёжно устаревшим технологиям

Созданный 7 сентября 2006 года пятью крупнейшими международными платёжными системами (American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International) Совет по стандартизации безопасности индустрии платёжных карт (Payment Card Industry Security Standards Council) разработал Стандарт безопасности данных индустрии платёжных карт (Payment Card Industry Data Security Standard – PCI DSS). Основная задача стандарта – повышение безопасности индустрии платёжных карт путём разработки и внедрения норм безопасности. Насколько успешно удаётся решать поставленную задачу сейчас?

 

ПРОТИВОРЕЧИВЫЕ ТРЕБОВАНИЯ

Стандарт PCI DSS предписывает, чтобы карточные данные включали данные о держателях карт (основной номер держателя карты PAN, имя держателя, срок действия, сервисный код) и критичные аутентификационные данные (полные данные магнитной полосы карты или её эквивалент на чипе, CAV2/CVC2/CVV2/CID, PIN/PIN-блоки). Пункт 3.2.1 Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures, Version 2.0, запрещает хранить всю информацию, содержащуюся на магнитной полосе или на чипе.

Но в примечании уточняется, что для ведения бизнеса может быть необходимо хранение следующих элементов данных магнитной полосы:

  • имя держателя карты;
  • номер платежной карты (PAN);
  • дата истечения срока действия карты;
  • сервисный код.

Рассмотрим, какие данные находятся на втором треке магнитной полосы карты, и которые нельзя хранить, и сравним их с данными, которые хранить разрешается.

Трек 2 (хранить запрещено):

5264832001000336=13011211665400000129

Хранить можно:

  • номер карты: 5264832001000336
  • дату: 1301
  • сервис код: 121
  • индекс криптографического ключа: 1
  • PVV: 6654
  • CVV: 129

Соберем данные, которые можно хранить:

5264832001000336=130112116654ххххх129

Сравним со вторым треком:

5264832001000336=13011211665400000129

То есть, имея формальный запрет на хранение второго трека, стандарт фактически запрещает хранение незначащей информации, а все значимые поля хранить по отдельности можно.

Определенные противоречия есть и в различных документах стандарта. Так, пункт 3.2.3 запрещает хранение PIN-кода, а также зашифрованного PIN-блока. Но в другом документе  Payment Card Industry (PCI), PIN Security Requirements Version 1.0, задача 1, пункт 4, делается допущение: если транзакция регистрируется, зашифрованный PIN-блок перед записью должен маскироваться. При этом отсутствуют требования к маскированию. Если замаскировать только один символ, будет ли этого достаточно?

Версия Стандарта 1.0 содержала запрет и на хранение значения PVV (PIN Verification Value), но позднее, во второй версии, он был отменен. При этом запрет на хранение зашифрованного PIN-блока сохраняется. PIN-блок содержит 16 символов (PIN + 12 цифр номера карты), зашифрованный алгоритмом 3DES на криптографических ключах TPK/AWK/IWK двойной длины из 32-х 16-ричных символов.

PVV представляет из себя блок из 16 символов (PIN + 11 цифр номера карты), зашифрованный алгоритмом DES на криптографическом ключе PVKA (16 16-ричных символов), расшифрованный алгоритмом DES на криптографическом ключе PVKB (16 16-ричных символов), ещё раз зашифрованный алгоритмом DES на криптографическом ключе PVKA (16 16-ричных символов), далее осуществляется процедура децимализации (приведение 16-ричной системы к десятичной).

То есть, с криптографической точки зрения, стойкость PIN-блока соответствует PVV. Компрометация ключей TPK/AWK/IWK и PVKA/PVKB приведёт к компрометации PIN-кодов. Различие заключается в том, что ключи PVKA/PVKB являются эмитентскими (относятся к PIN-кодам эмитента), а на ключах TPK/AWK возможна компрометация PIN-кодов чужих карт. Необходимость разрешения хранить PVV связана с технологией смены держателем PIN-кода.

Пункт 3.2 Payment Card Industry (PCI) Data Security Standard говорит, что для эмитентов и компаний, обеспечивающих услуги эмиссии, может быть необходимо хранить критичные аутентификационные данные. Такая необходимость должна иметь обоснование с точки зрения бизнеса, а хранимые данные должны быть надёжно защищены. Получается, что стандарт разрешает эмитентам использовать технологии, которые для эквайеров считаются небезопасными. Например, эмитент может даже передавать PIN-коды держателям электронным методом в незашифрованном виде, как это следует из подпункта n) пункта 10.1 Payment Card Industry (PCI) Card Production Logical Security Requirements, Version 1.0, May 2013.

ЧУЖАЯ БЕЗОПАСНОСТЬ

Вышеописанное означает следующее: когда банк заявляет о получении сертификата соответствия стандарту PCI DSS, то обеспечивается безопасность чужих карт. Обеспечена ли безопасность собственных карт, неизвестно! Например, многие банки предоставляют услугу по получению PIN-кода посредством SMS-сообщений. В этом случае PIN-код передается держателям карт в открытом виде по незащищенному каналу.

Интересная позиция в отношении PCI DSS выражена в требованиях к обеспечению безопасности PIN-кодов, которые содержатся в правилах платёжной системы осуществления операций на территории Российской Федерации, утвержденных Генеральным директором Visa Стивеном Паркером 29 ноября 2012 года.

Участник платёжной системы – эквайер обязан обеспечить безопасность PIN-кода, используемого при проведении операции для удостоверения личности клиента – физического лица, в соответствии с руководством по реализации требований к обеспечению безопасности PIN-кода в индустрии платежных карт (PCI PIN Security Requirements). В том случае, если участник платёжной системы – эмитент получает от Visa незащищенный PIN-блок, он обязан перевести его в безопасный формат.

Требования к допустимым форматам PIN-блока в указанном документе определены следующим образом: для транзакций в режиме реального времени шифрование PIN-кодов следует проводить только согласно ISO 9564-1, PIN-блок: форматы 0, 1 или 3. Формат 2 должен использоваться для PIN-кодов, которые передаются из кардридера на карту. Таким образом, эквайер обязан использовать защищённый формат PIN-блока, Visa может его перешифровать в незащищенный формат и отправить эмитенту, а эмитент обязан его перешифровать в защищенный формат. Все, кроме Visa, обязаны выполнять PCI PIN Security Requirements.

В этом же документе определен порядок использования формата 2, незащищённого, только в связи с офлайновой верификацией PIN-кода или для операции смены PIN-кода в связи со средой смарт-карты. В данном случае, а именно для операции по смене PIN-кода, налицо снижение уровня безопасности ради интересов бизнеса. Которое выражается в том, что необходимо использовать (разрешить) на криптографическом модуле (HSM) формат PIN-блока 34(Thales)/2(ISO), формирующий одинаковые PIN-блоки для одинаковых PIN-кодов на идентичных ключах. При инсайде можно посылать на HSM хостовые команды (KU или KY) и перешифровать PIN-блок из формата 0(ISO) в формат 2(ISO). Далее, злоумышленник может сохранить полученные PIN-блоки формата 2 и, путём их сравнения, вычислить PIN-код по известным значениям.

Требование пункта 23 PCI PIN Security Requirements трактует необходимость использовать разные LMK (локальные мастер-ключи) в авторизационном, персонализационном и автономном (для генерации и управления ключами) криптографических модулях (HSM). Даже если все HSM находятся в одном процессинговом центре, поскольку они представляют собой разные логические конфигурации.

Для того чтобы выполнять данное требование, необходимо одно из двух. Либо осуществлять генерацию ключей на автономном HSM (который может быть персонализационным, так как PCI PIN – для эквайеров) и транслировать ключи в авторизационную сеть под ZMK (зональный мастер ключ). Либо подключить HSM для генерации ключей в авторизационную сеть, в этом случае LMK могут быть одинаковыми и транслировать ключи в персонализационную сеть под ZMK.

Следствие такой трактовки – снижение уровня безопасности по 2 причинам:

  1. Передавать ключи под ZMK опаснее, чем под LMK (безопасность основывается на организационных, а не на технических мерах; компрометация ZMK приводит к компрометации всех ключей).
  2.  Перевод (на время) HSM в зоне авторизации в доверенное состояние для работы с ключами. Зачем подключать HSM в авторизационную сеть? Только для создания единой логической зоны (одинаковые LMK)!

СОМНИТЕЛЬНОЕ ОПРАВДАНИЕ

Удивление вызывает вышедший в январе 2013 года документ Information Supplement: ATM Security Guidelines, который носит рекомендательный характер. В частности, авторы данного документа в пункте 3.2 утверждают, что похищенная на банкоматах информация – PIN-код и трек (account data) – применяется криминалом для изготовления поддельных карт и используется по всему миру, включая снятия в банкоматах, покупки в POS с PIN, а также покупки без PIN при операциях без присутствия карты.

Такое утверждение свидетельствует о непонимании технологии мошенничества: если у злоумышленника есть трек и PIN-код, зачем нужно осуществлять покупку в торговом терминале приёма платежей банковскими картами? Проще снять наличные в банкомате. Если у злоумышленников есть только трек банковской карты, а PIN-код им неизвестен, то они изготавливают поддельную карту и используют её в торговом POS-терминале, а не в card-not-present, так как у них нет CVV2/CVC2 или информации для 3D Secure.

В рекомендациях также говорится о необходимости глобального стандарта безопасности банкоматов, а такие нормативные документы как PCI PTS POI Security Requirements и PCI PIN Security Requirements характеризуются как превосходная основа для его разработки. При этом указывается, что их нормы относятся только к POS-терминалам, а возможность их применения к банкоматам АТМ только рассматривается PCI SCC. Но непонятно, что подразумевается под SCC? Возможно, это опечатка, и имелся в виду SSC Security Standards Council? В таком случае налицо явная небрежность авторов документа.

Далее, получается, что документов в отношении безопасности банкоматов со стороны PCI SSC нет, в том числе не подлежат обязательному исполнению PCI PTS и PCI PIN. Хотя в данных документах имеются прямые указания на требования в том числе и к банкоматам. Например, PCI PIN просто начинается с упоминания о банкоматах. В этом документе содержится полный комплект требований по безопасному управлению, обработке и передаче данных персонального идентификационного номера (PIN) в процессе транзакции платёжной карты в режимах онлайн и офлайн в банкоматах и терминалах для производства платежей в месте совершения покупки (POS-терминалах). В PCI PTS также говорится, что он распространяется на банкоматы, например, PIN-клавиатура банкомата должна быть сертифицирована по данному документу

Пункт 11.3 PCI DSS Requirements and Security Assessment Procedures требует проводить внешний и внутренний тест на проникновение не реже 1 раза в год, а также после любого значимого изменения или обновления инфраструктуры и приложений. Если тест на проникновение проводит не QSA-аудитор, то необходимы дополнительные усилия, чтобы убедить QSA, что тест на проникновение был проведен квалифицированными сотрудниками организации, либо квалифицированной третьей стороной, организационно независимой (11.3.c).

Если тест на проникновение проводит QSA-аудитор, данный вопрос решён автоматически. Если тест на проникновение проводит квалифицированный специалист, то возникает вероятность взлома системы. В результате затягивается время прохождения PCI-аудита: необходимо устранить обнаруженные уязвимости и потом провести повторный тест (11.3.b). Если тест проводит неквалифицированный специалист, то всё хорошо: уязвимостей нет, время и деньги экономятся. Вывод: чем хуже, тем лучше!

Требование пункта 3.4 PCI DSS Requirements and Security Assessment Procedures таково: номер банковской карты должен быть представлен в нечитаемом виде во всех местах хранения. На первый взгляд, данное требование вполне оправдано, так как должно предотвратить компрометацию банковских счетов и хищение с них денежных средств. Однако, при более глубоком анализе, возникает ряд вопросов, ответы ставят под сомнение оправданность и очевидность данного требования.

ВОЗМОЖНОСТИ ДЛЯ «КАРТОЧНЫХ ШУЛЕРОВ»

Обычно необходимость шифровать номер карты при его хранении аргументируется тем, что при хищении зашифрованных данных, например, из процессинговых центров, компрометации не произойдет. Но давайте посмотрим, что может сделать злоумышленник, обладающий номером карты, в приложении к современным карточным технологиям. Для проведения операции с реальной, физически существующей картой необходима информация, записанная на магнитную полосу либо в чип карт, оснащённых микропроцессором.

Для карт с чипами знание только номера карты очевидно недостаточно для изготовления поддельного микропроцессора. Чтобы осуществить операцию при помощи магнитной полосы, злоумышленнику, кроме номера карты, дополнительно необходимо знать срок действия карты, код проверки подлинности карты CVV/CVC и сервисный код. Сервисный код у аналогичных типов карт обычно одинаковый. Дату действия карты получить достаточно просто (путем хищения из того же источника, где был похищен номер карты – у держателя карты с использованием технологий фишинга, перебора и другими способами.)

Коды CVV и CVC получить гораздо сложнее: они находятся только на треке, хранить который после проведения авторизации запрещено любому участнику платёжной системы. Похитить сохранённый трек, а вместе с ним CVV/CVC, нельзя, так как они нигде не должны храниться. С помощью фишинга данные коды тоже невозможно получить, поскольку держатель их не знает.

Не поможет и техника перебора возможных вариантов кода: учитывая, что 3 цифры дают 1000 комбинаций, современные системы мониторинга мошеннических операций, работающие в режиме реального или псевдореального времени, позволяют выявить данный вид атаки на ранней стадии и заблокировать карту. В случае, если эмитент записывает на магнитную полосу карты, кроме прочих данных, также код проверки подлинности PIN (PVV), состоящий из 4 цифр, для которых возможны 10 000 комбинаций, задача подбора злоумышленником кодов безопасности становится нереальной. Всего ему нужно подобрать комбинацию из 7 цифр, которые могут складываться 10 000 000 вариантов.

Дополнительно необходимо отметить высокие темпы EMV-миграции – перевода банковских карточных услуг на чиповые технологии как эмитентами, так и эквайерами, особенно в Европе. Отмена возможности проведения операции EMV-карты в EMV-терминале посредством магнитной полосы фактически сводит на нет вероятность хищения средств в случае, если произошла компрометация трека магнитной полосы банковской карты. Подобные мошеннические операции мигрируют в регионы, не поддерживающие EMV-технологии, или где временно сохраняются возможности совершения транзакций посредством данных на магнитной полосе. Для минимизации риска компрометации магнитной полосы платёжных карт необходим полный переход на технологию EMV.

Второй сферой технологии платежных карт, где несанкционированно может быть использован похищенный номер карты, является интернет-коммерция. Действительно, в последнее время в данной области объёмы хищений финансовых средств стремительно возрастают во всем мире.
Сократить их должна безопасная технология проведения платежей 3D Secure, которая предусматривает дополнительную аутентификацию держателя со стороны эмитента. При реализации данной схемы как эмитентом, так и эквайером знание злоумышленником только номера платежной карты становится недостаточным. Следовательно, для минимизации потерь необходимо дальнейшее развитие технологии 3D Secure, особенно эмитентами.

В случае, если интернет-транзакция проводится по традиционной схеме, без использования технологии 3D Secure, то для авторизации необходим номер карты, срок её действия и код проверки подлинности карты  – CVV2, CVC2. Данная информация может быть достаточно легко скомпрометирована. Учитывая перенос ответственности за несанкционированные держателями платёжных карт операции, эквайеры повсеместно применяют более защищенную технологию 3D Secure, где перечисленных выше данных будет уже недостаточно.

ШАГ ВПЕРЁД, ДВА НАЗАД

Проблема в том, что бывает нелегко убедить держателей карт пользоваться данной услугой, даже когда банк-эмитент сертифицирован использовать технологию 3D Secure. Технологии Verified by Visa – Token Based Authentication и Secure Code – Chip Authentication Program, предлагаемые платёжными системами, пока не обрели массовой популярности у держателей банковских карт.

Первая причина – необходимость дополнительных затрат, а именно времени на посещение банка, усилий на обучение пользованию технологии и денег на приобретение оборудования, которое, к тому же, нужно всегда иметь при себе.

Другая причина, сдерживающая распространение 3D Secure, в том, что при проведении интернет-платежа между эквайером, который её поддерживает, и эмитентом, не поддерживающим эту технологию, или держателем банковской карты, к ней не подключённым, уровень безопасности оказывается даже ниже, чем при классической операции! Если следовать требованиям платёжных систем, такая операция может быть осуществлена только по номеру карты и сроку её годности. Коды проверки подлинности карт CVV2, CVC2 эквайером могут не запрашиваться!

При этом, как правило, эмитент проверяет, что введенная дата действия карты больше текущей и что в базе данных эмитента срок действия карты не закончился. При этом, для обеспечения возможности работы двух карт одновременно при плановом перевыпуске, не сравниваются даты из базы данных и транзакции.  Значит, в таких случаях злоумышленникам, чтобы совершить хищение, достаточно знать только номер карты и не обязательно  – точный срок её действия, достаточно указать любой позднее текущей даты. Чтобы обеспечить стандартный уровень безопасности транзакции с поддержкой 3D Secure, если эту технологию поддерживает только эквайер, необходимо запрашивать коды CVV2, CVC2.

Таким образом, при современных технологиях платёжных карт их номера не являются критически важными данными. Проведение несанкционированной операции возможно либо при нарушении обычных, существовавших до PCI DSS, требований безопасности, либо при отставании от передовых технологий, таких как EMV и 3D Secure. Данные технологии появились раньше стандарта PCI DSS, на их внедрение участники платёжных систем потратили большие средства. Поэтому рационально дальше развивать и совершенствовать новые технологии безопасности, а не тратить всё новые и новые усилия и средства, пытаясь защитить устаревшие технологии, позволяющие осуществлять мошеннические операции, обладая минимальной информацией – номером карты.

Полностью защитить, сделать недоступным для злоумышленников номер банковской карты невозможно в принципе, потому что он является идентификатором счёта (авторизация, клиринг, диспут и др.). Решение в том, чтобы номер платёжной карты не относился к критичным данным, которые нужно защищать, а считался лишь одним из реквизитов банковского счёта – просто идентификационным номером.

Необходимо отдельно рассмотреть вопрос, насколько эффективно могут выполняться требования стандарта PCI DSS и осуществляться их внедрение. Рассмотрим, какие же требования в части стандарта предъявляют MasterCard Worldwide и Visa International. Процессинговые центры и эквайеры имеют договорные отношения с этими международными платёжными системами, согласно которым обязаны выполнять требования PCI DSS. Торговые предприятия членами платёжных систем не являются, гражданско-правовые отношения они имеют только с эквайерами. Поэтому ответственность за соответствие торговца требованиям PCI DSS возложена на эквайера. То есть эквайер считается соответствующим стандарту, если все его торговцы прошли процедуры сертификации согласно требованиям платёжных систем.

Международные платёжные системы MasterCard Worldwide и Visa Inter-national разделяют всех торговцев на 4 уровня. Для торговцев первого уровня (Visa и MasterCard) существует требование проводить ежегодный аудит, который, помимо собственно аудита, включает тестирование на проникновение и ежеквартальное внешнее сканирование сети. 

КОГДА ЧЕСТНОСТЬ НЕ В ЦЕНЕ

Кто будет оплачивать эти услуги? Торговец не является членом платёжной системы, поэтому ему ни к чему стремиться соответствовать данному стандарту. Зато эквайера могут оштрафовать, если его контрагент-торговец, из-за которого произошла компрометация данных платёжных карт, оказался не сертифицированным на соответствие PCI DSS.
Поэтому расходы для достижения соответствия стандарту на аудит, тестирование и сканирование торгового предприятия, скорее всего, лягут на эквайера. Который, в свою очередь, чтобы не снижать прибыльность своего дела, будет заинтересован скрывать истинное положение дел, регистрируя каждого такого контрагента в платёжной системе как нескольких мелких.

Рассмотрим ситуацию с оставшимися торговцами. Для соответствия требованиям необходимо проходить ежеквартальное сканирование сети (платно) и заполнять специальный опросный лист, на основании которого и делается заключение о соответствии требованиям PCI DSS.  Этот лист должен заполнить сам торговец, поскольку только он знает, как у него организована защита информации. Но, как уже было сказано, он напрямую не заинтересован тратить время и деньги на прохождение указанных процедур, поэтому, скорее всего, данный опросный лист придётся заполнять самому эквайеру.

Здесь возникает коллизия. Чтобы отвечать на вопросы, эквайеру придётся потратить немало времени и сил для запрашивания этой информации у торговца. В результате может оказаться, что тот не соответствует требованиям стандарта. В таком случае встанут вопросы, кто будет приводить торговца в соответствие требованиям стандарта и кто станет оплачивать эту работу. Для эквайера проще сэкономить ресурсы, отвечая на контрольные вопросы не «как есть», а «как нужно», чтобы, в случае инцидента по вине торговца, избежать штрафных санкций платёжных систем.

Итак, влияние эквайера на торговца ограничено: он не контролирует сеть того. Сертификация торговца за счёт эквайера ведёт к удорожанию эквайеринга: дополнительные затраты на сканирование, тестирование, аудит и сертификацию программного обеспечения увеличивают стоимость транзакций. Исходя из этих факторов, эквайер экономически не заинтересован повышать уровень информационной защиты торговца. А существующая технология сертификации торговцев приводит к получению недостоверных данных о степени их соответствии PCI DSS.

31 марта 2009 года Подкомитет по новым угрозам, кибербезопасности и науке Особого комитета по национальной безопасности провёл в Палате представителей Конгресса США слушания, посвящённые определению эффективности PCI DSS. Причиной послужили факты масштабных компрометаций данных платёжных карт, поставившие под сомнение его действенность. В ходе обсуждения PCI SSC и Visa утверждали, что организацию можно признавать соответствующей требованиям стандарта только на момент сертификации, не гарантируя сохранение соответствия в дальнейшем. Проведённый после инцидентов аудит сертифицированных организаций во всех случаях показал, что они уже не соответствовали нормам стандарта.

Представители торговых компаний утверждали, что следование требованиям PCI DSS не приводит к безопасности данных держателей карт, реализация этих требований связана с существенными затратами, данные в момент обработки представляются в незашифрованном виде и компрометация остаётся возможной, стандарт переносит потери на торговые предприятия.  Конгрессмен, член Палаты представителей США Иветт Кларк (Yvette Clark) заявила, что выполнение действующего стандарта не гарантирует безопасности, и призвала к его изменению, переходу на новые защищенные технологии, например, «чип – PIN-код».

КОМУ ВЫГОДНА ОТСТАЛОСТЬ

Таким образом, стандарт PCI DSS имеет следующие недостатки:

  • защищает устаревшие технологии;
  • не обеспечивает должного уровня безопасности данных (PAN в принципе невозможно защитить);
  • неадекватно увеличивает затраты на соответствие;
  • не защищает критичные данные PVV, CVV/CVC, EMV, 3D Secure;
  • не защищает номера карт в автоматизированных банковских системах;
  • направленно снижает требования PCI DSS ради поддержания функциональности банковских карт.

Почему же платёжные системы активно продвигают данный стандарт? Для чего средства необходимо вкладывать в защиту старых, морально устаревших, а не в развитие новых безопасных технологий EMV и 3D Secure? Причём технологии  EMV и 3D Secure имеют рыночные механизмы внедрения (перенос ответственности), а PCI DSS – лишь административные (штрафы).

Дело в том, что стандарт PCI DSS получил свое наибольшее распространение в Соединенных Штатах Америки, где применяются наиболее строгие требования к торговцам. Платёжные системы договорились с большинством крупных торговцев, что те будут проходить процедуры сертификации по этому стандарту.

Вместе с тем, прекрасно известно, что именно США является самым отсталым регионом перехода на чиповую технологию EMV. При этом рынок США является крупнейшим в сфере платёжных карт, как по объему эмиссии, так и по обороту денежных средств. Продолжая использовать устаревшую, недостаточно защищенную технологию хранения данных на магнитной полосе, США столкнулись с увеличением потерь вследствие мошенничеств.

Все страны, которые переходят на стандарт EMV, отмечают, что хищения средств перемещаются в другие регионы, где данная технология не реализована. Европейские страны говорят о 80% мошеннических операций, совершаемых в США. Доля потерь США составляет 47,3% от мировых, хотя их доля оборота – всего 23,5%, в 2 раза меньшая. Таким образом, можно предположить, что банки США, не желая тратить денежные средства на внедрение EMV-технологии и при этом столкнувшись с увеличением потерь в результате мошенничеств, вынуждены были выработать компенсационные меры, а именно стандарт PCI DSS.

Почему же российские банки, которые затратили значительные средства на внедрение EMV-технологий, должны дополнительно оплачивать чью-то отсталость? Российские банки, занимающиеся эмиссией и эквайрингом платёжных карт, и так уже зарегулированы различными требованиями к информационной безопасности. Помимо рассматриваемого стандарта PCI DSS, это и ФЗ №161 «О национальной платёжной системе», и ФЗ №152 «О персональных данных», и стандарт Банка России СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»…

Значит, российские банки проверяются многими разными организациями. Одни проверяют соответствие банков требованиям всех перечисленным документов, а другие оказывают консалтинговые услуги, чтобы успешно пройти проверки. Если проанализировать все различные требования, то они отличаются лишь деталями. Но чтобы соответствовать всем требованиями, от банков требуются значительные дополнительные затраты на обслуживание платёжных карт.

 

Насколько оправданы эти расходы банков на соответствие? Учитывая периферийность российского рынка, эти расходы замедляют темпы его развития, снижая конкурентоспособность. Чтобы преодолеть эту проблему, целесообразно сделать все требования Стандарта Банка России СТО БР ИББС-1.0 обязательными для банков. Но при этом дополнить его недостающими требованиями федерального закона ФЗ-152 и стандарта PCI DSS.

 

 

 

Смотрите также

Страхи и реалии

27 ноября, 2013
Подпишись на новости!
Подписаться