Журнал ПЛАС » Мнения экспертов » 1329 просмотров

PAYMENTSECURITY 2017: ключевые итоги форума 

PAYMENTSECURITY 2017: ключевые итоги форума 

В Санкт-Петербурге 29 и 30 июня прошла международная конференция #PAYMENTSECURITY 2017,сплотившая порядка 250 специалистов из двух отраслей: финтеха и информационной безопасности. В трёх параллельных залах они обменивались информацией о том,как делать платёжные технологии удобными и безопасными.

Присоединение платежной системы «Мир» к Совету PCI SSC

Пожалуй,одним из самых важных стал доклад генерального директора АО НСПК Владимира Комлева. Весной 2017 года Национальная система платежных карт (оператор платежной системы «Мир») вошла в состав Совета по стандартам безопасности данных индустрии платежных карт (Совет PCI SSC) и приняла стандарты,выпускаемые Советом,включая стандарт PCI DSS. По словам Владимира,платежная система «Мир» вступила в эту организацию не только как платёжная система,но и как представитель Российской Федерации в целом. С вступлением ПС «Мир» в Совет PCI SSC НСПК получает возможность использовать все существующие институты,созданные и развиваемые Советом,и,в том числе,признавать заключения QSA-аудиторов. «Мы не будем придумывать новые аудиты и создавать новые издержки для участников рынка»,—заявил Владимир Комлев. В новых условиях отчеты об аудите будут отсылаться участниками рынка в сторону платежной системы «Мир» наравне с другими платежными системами,такими как VISA и MasterCard.

429 июня на площадке #PAYMENTSECURITY,в отдельном зале,состоялось заседание созданной при НСПК рабочей группы по представлению интересов Российской Федерации в Совете PCI SSC. В состав рабочей группы вошли представители всех российских QSA-компаний,а также представители НСПК. В этот раз в заседании принял участие Джереми Кинг (Jeremy King) – международный директор Совета PCI SSC. На заседании обсуждался проект дополнения к стандарту PCI DSS. Планируется,что на первом этапе это дополнение должно быть принято и введено в действие на уровне НСПК. На следующем этапе НСПК планирует вести работу с Советом PCI SSC по включению требований из этого дополнения в текст самого стандарта PCI DSS. Джереми положительно оценил инициативу рабочей группы и активно участвовал в обсуждении требований,включенных в проект дополнения. О проекте дополнения говорил и Владимир Комлев в своем докладе. По его словам,ожидается,что в этот документ будут включаться только точечные и выверенные предложения по адаптации международных стандартов PCI к российской практике и требованиям российских регуляторов,«без переписывания 382-П целиком».

Глобальная безопасность платежей

Джереми Кинг традиционно выступил на #PAYMENTSECURITY с наиболее актуальной информацией о состоянии платёжной безопасности в мире. Он рассказал о беспрецедентном росте масштабов мошенничества,связанного с удаленными методами оплаты (card-not-present): c 220,9 млн. фунтов стерлингов в 2011 году до 432,3 млн. фунтов стерлингов в 2016 году. Совет активно противодействует возрастающим угрозам. В последнее время выпущено множество руководств по различным аспектам обеспечения безопасности платёжных технологий: по облачным вычислениям,виртуализации,беспроводным технологиям,противодействию скиммингу,повышению осведомленности и оценке рисков – все они доступны на сайте Совета. Относительно новый стандарт PCI P2PE,призванный сократить область применимости PCI DSS в среде торгово-сервисных предприятий и снизить издержки на защиту карточных данных,набирает популярность. На данный момент в мире сертифицировано уже 33 P2PE-решения и 69 P2PE-приложений. Кроме того,в Совете ведется активная разработка в области обеспечения безопасности бесконтактных платежных технологий.

По словам Джереми,Совет PCI SSC всерьез занят пересмотром подходов к защите данных в среде мелких торгово-сервисных предприятий,на долю которых приходится существенное количество фактов компрометации карточных данных. Можно ожидать,что в ближайшие годы мы увидим результаты этой работы,в том числе и в новых способах подтверждения соответствия требованиям PCI DSS,применимых к интернет-магазинам.

Джереми заявил,что Совет PCI SSC гордится присоединением к нему платежной системы «Мир» в качестве аффилированного члена. Он уверен,что совместная работа организаций усилит безопасность карточных платежей. Джереми отметил факт принятия и публикации Советом PCI SSC официального русскоязычного перевода стандарта PCI DSS и поблагодарил Ассоциацию АБИСС за качественно выполненный перевод.

Новое в стандартах безопасности PCI

Кристина Андреева – QSA-аудитор компании Deiteriy – рассказала об основных нововведениях в стандартах PCI и о том,к чему всем следует подготовиться до 1 февраля и 30 июня 2018 года. Основные тезисы:

—Тестирование на проникновение в целях проверки сегментации по стандарту PCI DSS следует выполнять не реже 1 раза в 6 месяцев,а не раз в год,как это было ранее. Требование применимо только к поставщикам услуг. Требование вступает в силу с 1 февраля 2018 года.

—Необходимо иметь в компании документацию,описывающую применяемые в целях PCI DSS криптографические решения. Требование применимо только к поставщикам услуг.  Требование вступает в силу с 1 февраля 2018 года.

—Не позднее 30 июня 2018 года все компании,к которым применимы требования стандарта PCI DSS,должны полностью отказаться от применения устаревшего протокола SSL любых версий,а также протокола TLS устаревшей версии 1.0. Это весьма болезненное требование,поскольку до сих пор в мире используется довольно много устройств,не поддерживающих современные версии протоколов шифрования,таких как TLS версии 1.2.

—В новые листы самооценки SAQ версии 3.2 Советом PCI SSC включено больше требований из стандарта PCI DSS,чем было в их предыдущих версиях. Например,в листе самооценки SAQ-A появились некоторые элементарные требования к безопасной конфигурации веб-сервера,что особенно актуально для интернет-магазинов,применяющих технологию iFrame или переадресацию покупателя на страницу платежного шлюза для ввода карточных данных.

—Советом PCI SSC выпущено несколько новых пояснительных документов,в частности документ о сегментации,документ о мультифакторной аутентификации и документ о безопасности электронной коммерции.

—Официальный русскоязычный перевод стандарта PCI DSS версии 3.2,выполненный Ассоциацией АБИСС и компанией Deiteriy,теперь доступен на сайте Совета по адресу https://ru.pcisecuritystandards.org.

О мире киберпреступности

Алексей Лукацкий в своем докладе «Становление финансовой корпорации «Киберкрайм и сыновья»: от подворотни до транснационального гиганта» на живых примерах и цифрах рассказал о современном состоянии черного хакерского рынка. Киберпреступность,по утверждению Алексея,—это хорошо организованное сообщество,жестко подчиненное одной цели – заработать. И для этой цели выбираются лучшие из представленных на рынке бизнес-моделей,которые не просто копируют,а иногда и превосходят то,что происходит в легальном бизнесе. Ведь киберпреступники не скованы никакими ограничениями. Им не надо платить налоги,получать лицензии и проходить проверки. Они динамичны,скрытны и умны. И чтобы с ними бороться,надо это понимать.

Поможет ли искусственный интеллект в борьбе с мошенничеством?

Два практических доклада были посвящены теме машинного обучения и применения искусственного интеллекта для борьбы с мошенничеством в платёжной индустрии – это доклады Дмитрия Петухова и Рустэма Хайретдинова. По мнению Рустэма,безоглядное применение алгоритмов,ассоциированных с искусственным интеллектом в системах информационной безопасности,лишь ради модного тренда,может скорее ухудшить эффективность систем защиты. Применять машинное обучение и глубокое обучение стоит только там,где они могут уменьшить количество ложных срабатываний сравнительно с системами с обратной связью. Эффективны системы с элементами искусственного интеллекта там,  где они могут заменить человека в рутинных операциях: защита веб-приложений,противодействие мошенничеству,реагирование на инциденты информационной безопасности и др. Каждая из описанных задач требует отдельного подхода,подготовки данных и настройки своих алгоритмов,поскольку эти системы очень чувствительны к доле ложных срабатываний,которые могут быть приемлемы,например,при распознавании лиц,но катастрофичны при решении задач ИБ.

54-ФЗ и онлайн-кассы

1 июля 2017 года – непростая дата для участников российского рынка электронной коммерции. Согласно требованиям относительно нового федерального закона №54-ФЗ,все они должны начать применять онлайн-кассы и предоставлять покупателям электронные чеки в момент совершения покупки. С одной стороны,это весьма болезненно для рынка: требование есть,его соблюдение стоит денег,технологии для его реализации только начинают появляться,а в формулировках от регуляторов многое пока непонятно,и есть вопросы,на которые регуляторы пока не дают ответов. С другой стороны,это новый рынок не только для производителей кассовой техники,но и для поставщиков онлайн-сервисов,которые могут избавить интернет-магазины от хлопот по реализации требований и предложить им облачные онлайн-кассы как сервис с удобным интерфейсом подключения и посильной абонентской платой. А главное – онлайн-кассы избавляют интернет-магазины от обязанности отправлять каждому покупателю бумажный чек о покупке,которой,в прочем,ранее многие пренебрегали.

1Как рассказал Олег Седов – ведущий круглого стола «Что принес платежной отрасли 54-ФЗ» – ему не пришлось использовать ни один из заранее заготовленных вопросов к докладчикам,поскольку вопросов из зала оказалось более,чем достаточно. Диалог по этой теме получился горячий и конструктивный,из чего можно сделать предположение,что рано или поздно рынок её освоит и научится работать в условиях обязательного применения онлайн-касс.

 По материалам оргкомитета PAYMENTSECURITY

 

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться",вы соглашаетесь с


политикой обработки персональных данных