журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ФИНАНСОВЫЙ КРИЗИС

ИТОГИ И ТЕНДЕНЦИИ

СЛИЯНИЯ И ПОГЛОЩЕНИЯ

БАНКОВСКИЕ СТРАТЕГИИ

БАНКОВСКИЕ ПРОДУКТЫ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

Банковская деятельность

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

БАНКОВСКИЕ РЕЙТИНГИ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №2, 2009

Банковская деятельность

PCI DSS: непросто, но возможно

В ближайшие два года всем банкам-эмитентам и эквайерам в СНГ придется пройти аудит на соответствие стандарту безопасности хранения и обработки данных карточных счетов

Украинские банки и процессинговые центры, а также ИТ-компании, торговые предприятия и сервис-провайдеры, задействованные в обработке, хранении и передаче данных карточных счетов, вынуждены подготовиться к достаточно дорогому и крайне сложному аудиту на соответствие стандарту PCI-DSS. Для этого им понадобится полностью изменить и усовершенствовать методы хранения и защиты клиентских данных. Александр Кирпо, заместитель исполнительного директора по информационным технологиям «Украинского процессингового центра» (UPC), руководивший подготовкой к аудиту PCI DSS в этой компании, согласился поделиться своим опытом с читателями нашего журнала и дал банкам рекомендации, как избежать сложностей в работе с международными квалифицированными аудиторами.

Немного теории

Карточный бизнес банков довольно часто подвергается атакам мошенников, в результате чего финучреждения терпят крупные убытки. Поэтому обеспечение его безопасности становится одной из первостепенных задач банкиров. С каждым годом требования международных платежных систем (МПС) к безопасности хранения клиентских данных повышаются. Стандарт защиты информации в индустрии платежных карточек (Payment Card Industry Data Security Standard – PCI DSS) представляет собой набор требований и правил процесса обработки и хранения данных держателей карт, разработанный системами Visa, MasterCard и пр. Целью его внедрения стала защита электронных торговых и платежных систем. Решение о создании PCI DSS было принято в связи с ростом случаев утечки конфиденциальной информации о счетах держателей платежных карточек. Стандарт касается, прежде всего, внутренней безопасности учреждения и предохраняет от несанкционированных действий сотрудников и посторонних лиц, которые могут проникнуть в банк и завладеть информацией. Предполагается, что несоблюдение требований PCI DSS может привести к значительным убыткам.

Данный стандарт обязателен во всех странах, где используются платежные карточки международных систем, в том числе и на территории Украины и России. Он используется всеми структурами, которые обрабатывают, хранят и передают информацию клиентских карточных счетов. Прежде всего, это касается банков, процессинговых центров, торгово-сервисных предприятий, работающих в Интернете, сервис-провайдеров, а также разработчиков банковских ИТ-систем, т.е. всего сегмента карточного рынка. Все они в скором времени будут вынуждены в обязательном порядке проходить ежегодный аудит с привлечением сертифицированной аудиторской компании (QSA).

Несмотря на то что PCI DSS охватывает достаточно узкую сферу деятельности банка и касается исключительно карточного бизнеса, не следует ожидать, что его прохождение не потребует много времени, средств и особых усилий. Возможно, придется заменить множество систем, внедрить новые процессы и даже перестроить помещение, где хранятся данные клиентов.

Непрохождение обязательной ежегодной процедуры аудита может повлечь за собой штрафные санкции со стороны международных платежных систем. Пока они еще не применяли штрафных санкций к компаниям и банкам в Украине и России. Эксперты предполагают, что привлекать к ответственности за несоответствие стандарту МПС начнут после 2010 года, так что в ближайшие несколько лет все украинские и российские банки и компании, связанные с проведением карточных платежей, должны будут завершить данную процедуру.

Одной из проблем при внедрении стандарта PCI DSS в украинских банках зачастую может быть большой объем технической информации на английском языке. В последнее время российские и украинские компании активно заняты переводом на английский всей документации, связанной с данным стандартом. В украинском Интернете правила PCI DSS можно найти на сайте Ассоциации эмитентов платежных карт EMA (www.ema.com.ua). Однако версия стандарта с переведенными правилами немного устарела, поэтому знание английского языка весьма пригодится.

В России уже около десяти банков успешно завершили процедуру аудита и получили сертификат соответствия PCI DSS. В Украине этот процесс начался только в 2006 году. Первой в Украине получила сертификат соответствия компания Portmone.com, которая к 2009 году уже дважды прошла аудит. Такие процессинговые центры как UPC и «УкрКарт» успешно завершили процедуру во второй половине прошлого года. Первым украинским финучреждением, получившим сертификат, стал «Диамант-Банк». О начатой подготовке к прохождению аудита сообщают и представители VAB-банка.

По логике требований МПС к участникам рынка платежных карт, первыми должны проходить аудит именно процессинговые центры. «UPC, завершив аудит по PCI DSS, обеспечил своим клиентам базу для прохождения ими данной процедуры», – отмечает Антон Романчук, председатель правления UPC. Сертификат PCI DSS Compliant, который имеют право выдавать лишь квалифицированные аудиторы (QSA), гарантирует надежность работы компании, а также целостность и сохранность данных клиентских счетов.

Подготовка к аудиту

Подготовка к прохождению аудита, как правило, начинается с выбора компании-аудитора. «Важно удостовериться, что аудиторы, к которым вы обращаетесь, действительно отвечают уровню QSA, – объясняет Александр Кирпо. – Список сертифицированных аудиторов размещен на сайте стандарта www.pcisecuritystandards.org». Не все аудиторы, предлагающие свои услуги перехода для соответствия стандарту PCI DSS в украинских банках, соответствуют категории QSA. Некоторые из них лишь предоставляют платные консультации, способствующие более быстрому его прохождению, однако не выдают сертификат соответствия PCI DSS, признанный в международных платежных системах. Александр Кирпо советует выбирать тех QSA, у которых есть офис в Украине. Ведь иначе банку придется оплачивать перелеты, гостиницы и командировочные иностранным специалистам.

Аудиторы получают доступ ко всей внутренней документации компании или карточного отдела банка. Поэтому важно, чтобы в QSA принимали документацию на русском или украинском языке. Иначе придется переводить все на английский, что весьма хлопотно, ведь аудит необходимо проходить ежегодно. Важно выяснить, сколько времени в году аудиторы смогут выделить на проверку деятельности банка и сколько человек будет задействовано. «Обратитесь сразу к нескольким аудиторам, – уточняет Александр Кирпо. – И выберите ту компанию, чей стиль работы максимально вас устраивает». Кроме того, он советует обратить внимание на тех аудиторов, которые не только проверяют работу систем, но и сами предлагают интеграционные услуги. «Получение консультаций и услуг по внедрению ПО из одних рук значительно облегчит задачу ИТ-департамента банка», – подчеркивает эксперт.

Первый этап подготовки к аудиту – приведение в порядок всех внутренних документов по безопасности, включая инструкции, положения и руководства. Прошли те времена, когда эти инструкции интересовали одного-двух сотрудников в банке. Теперь их выполнение будет проверяться ежегодно, причем, аудит коснется всех специалистов, задействованных в карточном бизнесе финансового института.

Требования безопасности в стандарте PCI DSS прописаны очень строго. Придется обеспечить протоколирование действий всех пользователей клиентской информации (сотрудников банка), а также всех приложений по обработке карточных данных. Эти протоколы собираются на центральном сервере банка, где хранятся защищенными от посторонних и сотрудников, не задействованных в обеспечении безопасности организации. Это поможет проследить любые движения клиентской информации и вовремя найти и остановить злоумышленника.

Стандарт подразумевает наличие ITIL-процессов, таких как управление изменениями, инцидентами, конфигурациями и пр. Библиотека инфраструктуры информационных технологий ITIL описывает лучшие из применяемых на практике способов организации работы ИТ-подразделений и преследует цель повысить качество ИТ-сервисов.

Международные платежные системы рекомендуют, чтобы все программы, установленные на банковских компьютерах в разделе карточного бизнеса, были сертифицированы по стандартам PABP или Visa PA DSS, который, кстати, представляет собой обновленную версию стандарта. Наличие сертифицированных программ облегчает прохождение аудита на соответствие стандарту PCI DSS, но не гарантирует его. Однако сертифицированное ПО будет сохранять, шифровать, удалять и протоколировать именно необходимую информацию. В таких программах в обязательном порядке ведется журнал трансакций для последующего выявления мошенничества.

Также аудиторы проверяют, где и как хранятся номера карт. Во-первых, они должны быть зашифрованы. Во-вторых, их нельзя оставлять на компьютерах тех сотрудников, которые с ними не работают. Когда в UPC готовились к прохождению аудита по PCI DSS, самое сложное, по словам Александра Кирпо, заключалось в том, чтобы найти на всех компьютерах и серверах номера карт для удаления со всех компьютеров, где они не использовались в работе. «Зато сегодня мы можем быть уверены, что ни на одном компьютере сотрудников, не работающих с карточными данными, не содержится конфиденциальной информации», – утверждает Александр Кирпо.

Требования стандарта касаются не только процессов и приложений, но и обеспечения физической безопасности. Если документ содержит номер карты, он автоматически становится конфиденциальным. Кроме того, в стандарте прописаны четкие правила обеспечения доступа в зону, где хранятся данные счетов картодержателей. Прежде всего, такую зону необходимо отделить от остальной части офиса. Вход и выход сотрудников обязательно регистрируется. Существуют также ограничения доступа в такую зону по дням недели и времени суток. К тому же, ее непременно необходимо оборудовать камерами для видеонаблюдения.

Еще одно требование стандарта PCI DSS – проведение тренингов по безопасности для всех сотрудников, задействованных в карточном бизнесе.

На первый взгляд, аудит на соответствие стандарту PCI DSS касается исключительно центрального офиса банка. Однако международная платежная система может потребовать провести аудит в любом его отделении, ведь они имеют доступ к номерам клиентских счетов, в них хранятся изъятые карточки, они открывают кредитные линии. Поэтому требования стандарта справедливы и для них. Следовательно, лучше с самого начала параллельно с центральным офисом приводить в порядок работу карточного отдела в отделениях.

Как правило, аудит назначается на определенную дату и длится около недели. Однако аудиторы могут потребовать предоставить им внутреннюю документацию банка за полтора месяца до оговоренного срока, поэтому необходимо, чтобы данная документация уже к тому времени полностью соответствовала требованиям стандарта.

«Не следует ожидать, что аудит пройдет гладко и обойдется дешево, – предупреждает Александр Кирпо. – Если вы уже сегодня самостоятельно составляете бюджет аудита, будьте готовы к тому, что в результате все будет значительно дороже, к тому же, потребуется больше времени». В связи со сложностями, возникающими в украинских банках и компаниях при анализе предстоящих объемов работ и стоимости их проведения, некоторые банкиры весьма настороженно относятся к подобным нововведениям международных платежных систем. Действительно, на первый взгляд кажется, что правила стандарта слишком строги, а квалифицированные аудиторы чересчур требовательны. Да и перспектива допустить посторонних в банк не может радовать руководство. Александр Кирпо и другие сотрудники UPC, пройдя через все сложности и с успехом преодолев их, придерживаются несколько иного мнения. «Важно понимать, что внедрение стандарта вовсе не преследует цель прекратить ваш бизнес, – успокаивает он. – Наоборот, подготовка и прохождение аудита действительно сделают банк устойчивым к любым форс-мажорным обстоятельствам и чрезвычайным происшествиям».

Анна Краевая,
по материалам UPC, ua.banker.net, ema.com.ua, www.pcisecuritystandards.org

 
© агенство "Стандарт"