Соответствие требованиям стандарта безопасности PCI DSS сейчас довольно горячая тема. И очень часто во время ее обсуждения участники дискуссии забывают об основном назначении стандарта. А PCI DSS был изобретен для того, чтобы перенести риски карточного мошенничества с платежных систем VISA, MasterCard, AmEx и Discover на банки-эмитенты пластиковых карт и прочие субъекты их обработки: торговцев, поставщиков услуг, процессинг, эквайринг и пр.
Вы заметили, PCI DSS не содержит раздела, касающегося оценки рисков, как это принято во многих других методиках и стандартах ИБ? Это потому, что оценка рисков, на основании результатов которой составлялись требования стандарта, уже давно выполнена Визой со товарищи. Стандарт регулирует их риски, а не ваши или ваших клиентов, и вступая в сотрудничество с платежными вендорами вы обязаны взять какую-то часть этих рисков на себя. Другими словами, если хотите работать с платежными системами, соблюдайте стандарт, или... или есть другой путь.
Как всегда, есть альтернатива и она в этом случае логично следует из выше сказанного. Но тем не менее, она очень редко фигурирует в "писиайных" дискуссиях специалистов по ИБ и сочувствующих. Альтернатива заключается в том, что если сотрудничество с несоблюдающим стандарт партнером выгодно учредителям PCI, то соблюдать требования партнеру совсем не обязательно. Никто не будет гнобить за несоответствие гусыню, несущую золотые яйца, потому что это невыгодно с точки зрения бизнеса, а PCI DSS -- это бизнес-стандарт.
Вот почему я глубоко убежден, что гигантские банки, обладающие своим процессингом и не спешащие им делиться (то есть, представлять его услуги) еще очень нескоро всерьез задумаются о соответствии. Потому что в этом нет коммерческой необходимости, а делать это "просто так" совершенно невыгодно. Представьте себе ИТ-инфраструктуру большого распределенного банка, прошедшего через несколько слияний и поглощений: там и без писиая есть чем заняться. С другой стороны, небольшие и очень маленькие банки, а также разного рода поставщики услуг и торговые предприятия придут к этому очень и очень скоро, потому что для них путь соответствия более выгоден и менее накладен.
И не нужно причислять PCI DSS к стандартам государственного или отраслевого уровня. В этой области никогда не будет справедливости: кому-то соблюдать требования будет обязательно, а кто-то будет состоять в белом списке в силу своей важности и полезности. И надеяться на то, что грубое несоблюдение требований ИБ крупными игроками чем-то им аукнется -- тоже не стоит.
