Соответствие стандарту PCI DSS не спасает от риска утечки данных платежных карт

На прошлой неделе Федеральная торговая комиссия США поручила девяти компаниям в сфере крупного и малого бизнеса в течение 45 дней предоставить подробные отчеты о проверке соответствия стандарту безопасности данных индустрии платежных карт PCI DSS. Согласно статистике NASDAQ, в 2014 году примерно 31,8 млн американцев стали жертвами утечки данных платежных карт. Данные результат втрое превышает показатель 2013 года, пишет эксперт компании High-Tech Bridge Илья Колошенко в статье на портале CSO.

Стандарт PCI DSS описывает требования к защите данных о держателях карт, сгруппированные в двенадцать тематических разделов. Основной акцент PCI DSS делает на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности. Также стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга.

Многочисленные инциденты, связанные с утечкой данных в соответствующих PCI DSS компаниях, ставят под сомнение эффективность стандарта. Однако дело не только в эффективности, но и отношении предприятий к собственной безопасности. К примеру, большинство из пострадавших компаний не в полной мере выполняли требования PCI DSS или неверно определяли сферу охвата среды данных о держателях карт (Cardholder Data Environment, CDE). Некоторые организации реализовывали временные меры по контролю за безопасностью исключительно с целью прохождения аудита на соответствие PCI DSS.

Если исключить утечки данных, связанных с третьей стороной, физическими атаками (скимминг, атаки на PoS-терминалы и т.д.) и инсайдерскими угрозами, значительное количество подобных инцидентов является следствием использования уязвимых web-приложений.

Согласно пункту 6 требований стандарта PCI DSS, «организации обязаны разрабатывать и поддерживать безопасные системы и приложения». Это одно из наиболее важных требований для web-приложений в сфере CDE. Однако многие предприятия часто неверно трактуют данную норму, так же, как и ее реализацию.

Как пояснил эксперт компании PwC Switzerland Ян Шредер (Jan Schreuder), соответствие стандарту PCI DSS – только один элемент в рамках подхода к управлению рисками безопасности. Нередко компании используют подход «для галочки» в отношении стандарта PCI DSS без полного понимания и оценки киберугроз, а также их возможных последствий для бизнеса.