Половина организаций не соответствуют требованиям стандарта PCI DSS

В прошлом году число компаний, достигших полного соответствия стандарту безопасности данных в индустрии платёжных карт (PCI DSS) достигло рекордного значения в 55,4%. Это также значит, что почти половина компаний не соответствует стандарту. Данную информацию предоставила в отчете  по безопасности платежей телекоммуникационная компания Verizon.

По данным исследователей, почти 300 инцидентов, связанных с платежными картами, случились из-за неполного соответствия стандарту PCI DSS. В прошлом году почти половина компаний, проверенных экспертами Verizon, не смогла пройти даже первичную проверку.

PCI DSS состоит из 12 требований по безопасности, которые должны соблюдаться компаниями, если они принимают, обрабатывают или хранят информацию о платежных картах. В рамках каждого из требований существуют дополнительные меры, выполнение которых является обязательным условием для соответствия стандарту. В общей сложности, существует более 200 мер по безопасности и PCI DSS регулярно пересматривает и обновляет их, тем самым создавая трудности для компании по их соблюдению.

Только 71,9% компаний смогли соответствовать всем требованиям при первичной проверке, в которую входит сканирование на уязвимости, тестирование на проникновение, использование систем обнаружения вторжения и мониторинг целостности файлов, говорится в отчете. Существует также повторная проверка, которую проходят не все.

В число распространенных нарушений входит отсутствие регулярного тестирования, принятия мер по устранению проблем безопасности, а также отсутствие контроля за устранением уязвимостей.

Некоторые компании просто не понимают различий между типами тестирования в рамках требований PCI DSS. Требование PCI DSS №6 обязывает разработывать и поддерживать безопасные системы и приложения, а требование № 12 - поддерживать политику информационной безопасности для всех работников, отметили эксперты.

Большинство компаний, не прошедших первичную проверку соответствия в прошлом году, также не смогли ее пройти и в позапрошлом. В среднем компании не соблюдали 13% требуемых мер.

Есть и общие проблемы. Недостаток ИТ-специалистов, недостаток средств, выделенных на безопасность, и отсутствие контроля за соблюдением требований являются тремя основными факторами, мешающими компаниям соответствовать стандарту.

Андрей Давидович, генеральный директор компании "Смарт-Софт"

Тут надо разделять организации, для которых соблюдение PCI DSS обязательно, и те, для которых оно лишь рекомендовано. Банки, работающие с платежными картами, и процессинговые центры обязаны проходить ежегодную сертификацию и внешний аудит на соответствие PCI DSS. Нарушение грозит штрафными санкциями со стороны международных платежных систем, вплоть до отключения. Так что официально – соблюдают все, кто должен. Тем не менее, многие финансовые организации подходят к соблюдению требований PCI DSS весьма креативно, исходя из соображений собственного удобства и выгоды. Это может приводить к тому, что данные платежных карт могут выходить за границы безопасных (соответствующих PCI DSS) информационных систем. В этих случаях возможны утечки данных, чреватые финансовыми потерями, которые банки стремятся перекладывать на клиентов. Именно поэтому точки наивысшего риска компрометации карты – банкоматы и небольшие торговые организации. К сожалению, на этих участках требования PCI DSS соблюдаются далеко не всегда. На практике мы узнаем о малой части инцидентов утечек данных платежных карт – по оценкам МВД, банки сообщают лишь о 10% таких случаев. Иногда деньги теряет банк, иногда клиенты. Точное соблюдение банком требований PCI DSS, в том числе и в тех системах, где они не являются обязательными, риски такого рода снижают, но зачастую необходимые расходы расцениваются банком как излишние.