Основной целью разработки стандарта PA-DSS стала необходимость поддержки внедрения PCI DSS. Насколько серьезной проблемой становится внедрение этой  новой инициативы для банка-эквайера?
И, наоборот, может ли она послужить ему хорошим подспорьем для достижения PCI DSS Compliance?

Недавно на форуме сообщества профессионалов индустрии платежных карт (SPSP Forum) была опубликована статья об утечке информации франчайзинг-операторов  и о соответствии стандарту PCI.

PCI DSS дает только одну рекомендацию франчайзинговым компаниям (на странице 7 стандарта). Ссылка на этой странице относится только к выборке. Изначально было обозначено, что соответствие PCI в среде франчайзинг-бизнеса контролируется отношениями между франчайзером (организацией, которая выдает лицензии на бизнес) и франчайзи (организацией, которая работает по лицензии в бизнесе). Франчайзи обычно имеют свои собственные торговые аккаунты и имеют свои контакты в банке-эквайере. Для целей соответствия PCI большинство франчайзи независимы от своих франчайзеров и поэтому франчайзи ответственны за своё соответствие PCI и заполнение любых документов.

Жил-был Банк. И пришли к нему аудиторы, и сказали человеческим голосом: «недостаточный уровень протоколирования событий, а журналы с этими событиями тем более никто не смотрит, так что не будет тебе, Банк, сертификата PCI, а с ним и счастья». И пошел Банк к интегратору, и просил его принять в дар каменья драгоценные (сколько унести сможет), а взамен поставить ему волшебную шкатулку с заморским названием Security Information Management System (SIMS), в которую бы все что нужно собиралось, да ещё и заглядывать в ту шкатулку было удобно. На том и порешили. Долго ли коротко, интегратор внедрял-внедрял, да и внедрил. Банк глядит на шкатулочку и не нарадуется, как открывается не знает, но шибко ему нравится. Прошел год, снова тучи собираются, а вместе с ними и аудиторы гостями незваными. На шкатулку и глядеть не хотят, тычут в процедуры аудита, сертификат давать отказываются. И взмолился тогда Банк: «чего же вам, окаянные, ещё нужно?».

Веб-приложения, способные работать на компьютере пользователя после отключения от Сети, становятся все популярнее. В ближайшее время можно прогнозировать появление множества подобных предложений от самых разных компаний. Но не стоит забывать о безопасности, ведь вы предоставляете в распоряжение онлайновых сервисов все больше своих данных. И здесь прежде всего стоит ориентироваться на здравый смысл - чтобы обезопасить себя, используйте приложения известных корпораций, которые серьезно озабочены безопасностью данных своих клиентов, ведь от этого зависят успех их бизнеса, их деловая репутация. При этом не забывайте, что защищать данные на одном сервере всегда намного легче, чем защищать эти же данные, хранящиеся у десятков, а то и сотен тысяч пользователей на их компьютерах. А именно в этом и состоит проблема - то, что раньше хранилось только на сервере компании, теперь будет находиться в виде локальных копий на ваших домашних компьютерах. При этом синхронизация данных и работа с подобными документами происходят с помощью браузеров - программ, которые для таких задач изначально не предназначались. Сейчас вы на свой страх и риск используете новые технологии, в которых еще даже не выявлены все потенциально опасные дыры с точки зрения безопасности.

Поэтому перед тем, как использовать модное веб-приложение, попробуйте оценить важность той информации, которую вы хотите там хранить. И если использовать эти программы вам необходимо уже сейчас, выбирайте предложения надежных компаний, заботящихся о своей репутации, а также не пренебрегайте и традиционной защитой - трудноугадываемым паролем.

Максим Эмм