Chirkov.net: блог

На минувшей неделе посетил семинар Информзащиты по PCI DSS. Знания всех глубин мне не требуется, но иметь общее представление я счел для себя полезным. Информзащита в течении последнего года проводит такое мероприятие уже третий раз: видимо сказывается обострившаяся конкуренция на ниве аудита по PCI DSS (до середины прошлого года эта компания была единственным аудитором на территории России).

Следующая информация показалась мне заслуживающей публикации:

1. VISA и MasterCard по разному очерчивают области аудита. MasterCard требует аудита только процедур авторизации и клиринга, а VISA дополнительно требует аудировать мониторинг мошеннических операций, ведение диспутов, процедур клиентской поддержки, статистика и аналитика по транзакциям. Что интересно: персонализация карт не подпадает под требования стандарта PCI DSS.
2. Ведущие платежные системы по разному карают оступившихся. За не выполнение составленного и утвержднного плана достижения compilance VISA штрафует, а MasterCard нет. А если организация скомпрометирует чужие карты, то ей светит $500 000 штрафа от VISA, оплата расходов на investigation team и компенсация затрат на перевыпуск всех скомпрометированных карт. 
3. На семинаре был развеян миф о том, что “мой огород – что хочу, то и ворочу”. Под требования стандарта и аудита подпадают  и on-us операции.
4. В “цивилизованном” мире под обязательный аудит в первую очередь попали провайдеры услуг и крупные мерченты, а у нас банки, имеющие прямые коннекты к платежным системам. Предполагается, что именно они будут потом проверять своих мерчентов (и ассоциатов) на соответствие тем же требованиям безопасности.
5. Первоначально все очень гордились пройденным аудитом, оповещая мир об этом громкими пресс-релизами. Однако пройти аудит и получить сертификат соответствия требованиям PCI DSS это две большие разницы. Чтобы получить сертификат нужно 100% выполнить все 239 процедур проверок. Информзащита начала аудиты в 2006 году и до сих пор ни один из ее клиентов не добился compilance (правда утверждается, что многие близки и в ближайшее же время мы увидим сразу несколько новых сертификатов). По статистике Информзащиты по результатам первого аудита средний процент соответствия составляет 54%, по результатам второго – 72%. Специалисты Информзащиты оценивают путь по достижению compilance в 2 года и для его прохождения настоятельно советуют кроме аудита приобретать у них консалтинговые услуги.
6. В настоящее время в России 13 организаций являются compilance и имееют статус. На семинаре были названы: Рукард, Хронопей, UCS (которая прошла в 2006 году первый аудит в Информзащите, а compilance достигла в 2009 году с Инфосистемами Джет), кроме этого я нашел следы получения сертификата платежной системой РБК money, процессингом ЦФТ. Имена еще 8 счастливчиков остаются неизвестными.
7. Факты, высказанные  в последних двух пунктах навели меня на грустные мысли: либо Информзащита единственный честный аудитор, а остальные раздают сертификаты направо и налево, либо Информзащита старается выжать из клиента по максимуму на консалтинге, объясняя ему как окружающий воздух привести в состояние “идеального газа”. Сомнения еще больше укреплял раздел доклада, в котором рассказывалось какие санкции грозят нерадивым аудиторам, а Информзащита анонсировала услугу бесплатной проверки чужих аудиторских отчетов :).
8. Если банк ведет соственные разработки, в том числе пишет скрипты, добывающие данные о транзакциях из карточных систем, для различных отчетов – эти разработки должны вестись согласно требованиям стандарта PA DSS и соответственно процедуры разработки будут проверяться аудитором.
9. Компенсационные меры это снижение риска, на который направлено конкретное требование стандарта, другим способом. Выполнение требования стандарта другим способом может быть обусловлено бизнес-необходимостью или физической невозможностью выполнить требование впрямую. Если компенсационная мера в достаточной степени снижает риск, то она может применяться бесконечно долго.
10. В последнее время несколько западных компаний, имевших сертификаты соответствия, подверглись атакам и скомпрометировали чужие карты. По результатам деятельности investigation team в каждом из этих случаев было установлено, что не смотря на наличие сертификата компании не выполняли некоторых требований PCI DSS, что, по мнению проверяющих, и привело к компрометации.
11. На сайте PCI SSC можно почитать ответы на часто задаваемые вопросы, задать свой (и получить ответ спустя пару месяцев), а также Совет стал проводить открытые курсы обучения. В мае месяце Информзащита пообещала представить рускоязычный портал по PCI DSS!

Половина мероприятия, посвященная общим вопросам, показалась мне очень интересной и познавательной. Информзащите за него спасибо, хотя некоторые (видимо особенно измученные кризисом) банкиры и жаловались на скудность стола с бутербродами :). Все презентации выложены на сайте Информзащиты.

Всегда интересно наблюдать за аудиторией. В любой найдется 3-4 активиста и практически только они и будут задавать вопросы, причем по любой обсуждаемой теме. Практически в любой аудитории найдется умник, который громко заявит, что лектор совершенный дурачок. В нашем случае дядечка, решительно заявил, что ни один здравомыслящий предправ не подпишет договор на аудит, в рамках которого аудитор будет проводить тест на проникновение в “боевые” системы банка. Дядечка упирал на то, что он “производственник, от конвейра”, а аудиторы разбираются в банковском бизнесе как свиньи в апельсинах и пенетрировать (от названия – penetration test) он им позволит тестовую систему, да и то, если заранее опишут все алгоритмы пенетрации (этим он вызвал легкий смешок у понимающей части аудитории). Далее этот дядечка сколотил коалицию среди соседей,  с которой что-то бурно обсуждал, не утруждая себя даже попытками снитить голос и наклонится к собеседнику (удивляюсь терпению докладчиков и соседей).

Был задан интересный вопрос: как успешная пенетрация, результатом которой являются некоторые реальные данные, укладывается в требования законов о банковской тайне и защите персональных данных. Представители Информзащиты с трибуны не смогли внятно аргументировать легальность своей деятельности и после небольшой сумятицы предложили обсуждать это отдельно\кулуарно. Для меня вопрос остался открытым, хотя и не сомневаюсь, что соответствующая юридическая лазейка есть.

PS Самым интересным было слушать кулуарные откровения банкиров о своих вендорах. Особенной “любовью” к поставщику процессинговой системы  выделялся представитель Газпромбанка.