Как соответствовать требованиям PCI DSS?
Ответ на этот вопрос можно было услышать 27 января на семинаре "Стандарт PCI DSS в информационной безопасности платежных карт. Проблема внедрения", организатором которого выступила международная аудиторская компания Sysnet.
Благодаря докладам, которые прозвучали на семинаре, представители "Ощадбанка Украины", "Укрсоцбанка", "Первого украинского международного банка" (ПУМБ), "Індекс-банка" и других украинских финансовых учреждений смогли не только узнать о теоретических основах стандарта PCI DSS, но и узнать о технологических решениях для соответствия стандарту PCI DSS.
Компания Sysnet (Ирландия) является одним из ведущих поставщиков услуг по обеспечению информационной безопасности и соответствия стандартам индустрии платежных карт по всему миру. По словам Игоря Легкодымова, консультанта по развитию бизнеса компании Sysnet, PCI DSS – единый стандарт безопасности данных, основанный на лучшей практике (ISO 17799, ISO27001), поддерживается всеми карточными системами (Visa, MasterCard, American Express и др.), а также основывается на специфических программах защиты данных.
Решение о создании единого стандарта было принято компаниями Visa и MasterCard в связи с увеличением числа компаний, сообщивших о потерях и кражах конфиденциальной информации со счетов их клиентов.
PCI DSS определяет следующие 6 областей контроля (построение и сопровождение защищенной сети, защита данных держателей карт, поддержка программы управления уязвимостями, реализация мер по строгому контролю доступа, регулярный мониторинг и тестирование сети, поддержка политики информационной безопасности) и 12 основных требований по безопасности.
Алексей Гребенюк, старший консультант по информационной безопасности компании
Sysnet: "Действие PCI DSS распространяется на все торговые предприятия и поставщиков
услуг, подключенных к международным платежным системам Visa и MasterCard"
"Действие PCI DSS распространяется на все торговые предприятия и поставщиков услуг, подключенных к международным платежным системам Visa и MasterCard. Однако конкретный набор предъявляемых требований зависит от количества обрабатываемых данной компанией транзакций. Для упрощения проверочных процедур на соответствие стандарту каждому предприятию-пользователю присваивается соответствующий уровень", – добавил Алексей Гребенюк, старший консультант по информационной безопасности компании Sysnet.
Представители Украинского процессингового центра Игорь Осыка, начальник департамента безопасности, и Александр Кирпо, менеджер по поддержанию непрерывности бизнеса, рассказали о процедуре проведения аудита на соответствие требованиям PCI DSS и о типовых сложностях.
В ходе семинара были представлены несколько технологических решений, которые помогут финансовому учреждению соответствовать требованиям PCI DSS. Так, слушатели смогли познакомится с Sysnet Securus – автоматическим онлайн-ре шением для продавцов. Sysnet Securus обеспечивает большое число комплексных услуг для достижения и поддержания требований стадарта PCI DSS, осуществляя поддержку широкого диапазона клиентов.
"Автоматизация процесса управления ИТ-безопасностью и соответствия стандартам – это задача, которую мы решаем", – сказал Андрей Безверхий, бренд-менеджер по продукции Qualys компании "Свит-ИТ". QualysGuard Express – это решение, предоставляемое как сервис по требованию, полностью автоматизированное для определения уязвимостей в безопасности, наблюдения за их устранением и контроля на соответствие политикам.
Андрей Линник, директор киевского офиса компании "Вектор": "Маршрутизаторы
компании Billion позволяют не только изолировать трафик платежной сети
от сетей общего доступа, но и от информационной сети банка"
Каким должен быть комплексный подход к безопасности? Как решения компании McAfee помогают соответствовать требованиям PCI DSS? На эти вопросы в своем выступлении ответил Константин Здыбель, главный специалист компании "БАКОТЕК".
Евгений Гончаренко, менеджер по развитию бизнеса компании "БАКОТЕК", рассказал о решении компании GFI Software для соответствия стандарту PCI DSS (GFI PSISuite). В состав этого решения входят три продукта: GFI LANguard (создание и поддержание системы информационной безопасности), GFI EventsManager (сетевой мониторинг), GFI ReportCenter (отчетность).
О том, какие комплексные решения предлагает компания Novell по соблюдению стандарта PCI DSS, рассказал Олег Павленко, технический директор представительства Novell в Украине. Особый интерес у участников семинара вызвал доклад о масштабируемой архитектуре Novell Sentinel, оптимизированной для обслуживания распределенной инфраструктуры.
Андрей Линник, директор киевского офиса компании "Вектор", представил слушателям семинара маршрутизаторы тайванской компании Billion. "Маршрутизаторы компании Billion позволяют не только изолировать трафик платежной сети от сетей общего доступа, но и от информационной сети банка. Также многие модели имеют возможность поддержки резервирования каналов за счет двух WAN-портов, что позволит организовать диверсификацию доступа со стороны банкомата", – подчеркнул Андрей Линник.
