Стандарт PCI DSS в контексте Национальной платежной системы

Стандарт PCI DSS в контексте Национальной платежной системы
Взял на себя смелость опубликовать эту новость, т.к. она достаточно важен на мой взгляд. Помните регистрация, кстати, уже началась) Андрей Петрович Курило упомянул , что речь ведется о том, что локализованный и согласованный с PCI Council вариант PCI DSS будет принят в России как нормативный акт ЦБ, но не в виде прямого применения, а путем заимствования ключевых его положений и включения их в одну из РС (рекомендации по стандартизации) в СТО БР ИББС. С тех пор об этой инициативе не было ни слуху ни духу (кроме редких высказываний на различных мероприятиях). Но вот вчера произошли серьезные подвижки.

В ПК1 ТК122 по безопасности финансовых операций поступил набор из 10 документов, входящих в состав PCI DSS 2.0. К письму прилагалось пояснительная записка, в которой говорилось, что по инициативе Банка России PCI Council осуществляет проект по официальному переводу стандарта PCI DSS и сопутствующих документов на русский язык. Целями этого проекта являются:
  • аутентичный перевод на русский язык PCI DSS и сопутствующих документов, официально признаваемый PCI Council;
  • размещение перевода и поддержка его в актуальном состоянии при изменений версий стандарта PCI DSS на сайте PCI Council;
  • использование перевода для более эффективного внедрения PCI DSS в РФ для участников международных платежных систем;
  • использование перевода как основы для разработки Банком России национальных требований и рекомендаций к индустрии платежных карт.

НП «АБИСС» по поручению Банка России является оператором данного проекта по переводу PCI DSS.

Что интересного в этой новости? Во-первых, появится первый официальныйперевод стандарта. Имеющиеся сейчас переводы Информзащиты и Digital Security местами не совпадают и всегда возникает вопрос в их аутентичности. Тут достоверность будет подтверждена на уровне самого совета PCI Council. Во-вторых, стандарт появится на сайте совета, тем самым статус России и Банка России в данном вопросе также поднимутся. И, наконец, стало понятно, что ЦБ не будет разрабатывать что-то свое, особое и непохожее на принятый уже многими российскими банками PCI DSS, а воспользуется лучшими практиками. Дело останется за малым - признать прохождение аудита по СТО БР ИББС за аудит по PCI DSS и процесс можно будет считать завершенным. Причем завершенным именно так, как того ждут многие кредитные организации.

ЗЫ. Хочу заметить по поводу планируемого магнитогорского форума. Мероприятие планируется быть интересным. Учитывая время его проведения, можно предположить, что на нем мы услышим самые последние новости по части нормативной базы НПС (а там готовятся новые документы), СТО БР ИББС (там тоже грядут изменения), PCI DSS в описанном в заметке контексте, персональных данных от ФСТЭК и ФСБ, требований Роскомнадзора и т.п. Как минимум, с регулятивной точки зрения мероприятие стоит того, чтобы его посетить. А инсайдерской информации ;-) и с других точек зрения контент и форма его подачи будут более чем интересными для банков.
PCI DSS НПС стандарты Банк России
Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.