Итоги Международной конференции по безопасности платежных систем PCI DSS Russia 2011

15 марта в Москве в гостинице «Золотое кольцо» прошла Вторая Международная конференция по безопасности платежных систем PCI DSS Russia 2011. Данная конференция известна участникам индустрии платежных карт начиная с 2010 года, когда она стала уникальной площадкой для обмена накопленным опытом между участниками индустрии платежных карт - среди международных платежных систем, консультантов в области PCI DSS и представителей банковского сектора.

Конференция была организована компанией Digital Security, Ассоциацией Российских членов Европей и Сообществом профессионалов PCIDSS.RU при поддержке Международных платежных систем Visa и MasterCard, представители которых выступили с докладами об изменениях в их программах и ответили на вопросы участников конференции.

Нельзя не отметить повышенный интерес к конференции по сравнению с прошлым годом, обусловленный популяризацией стандарта среди участников рынка, четкой позицией регуляторов в отношении соблюдения предъявляемых ими требований и непосредственной активностью банков, процессинговых центров, ТСП и сервис-провайдеров. Помимо вопросов, посвященных стандартам PCI и PA-DSS, тематика конференции была расширена и включила в себя вопросы по безопасности банк-клиентов, способов ее обеспечения, в том числе фиксирования и расследования инцидентов, вызванных мошенническими действиями в системах. Мероприятие собрало более 150 человек и было поддержано 26 медиа-партнерами и традиционным спонсором конференции – компанией LETA.

В конференции приняли участие руководители кредитных организаций, торгово-сервисных предприятий, специалисты в области информационной безопасности, менеджеры по управлению информационными рисками, руководители процессинговых центров и дата-центров, специалисты по операциям с платежными картами.

«Спасибо компании Digital Security, организовавшей мероприятие – оно получилось очень целевым и интересным. Думаю, банковское сообщество по достоинству оценит возможность профессионального обсуждения наболевших проблем. Придавая подобным встречам практическую направленность, привлекая экспертов со стороны банков к выступлениям и обмену опытом можно помочь всем участникам рынка бороться с мошенничеством и повышать уровень безопасности банковских систем, тем более с учетом все возрастающей роли электронной и мобильной коммерции», - отметил Александр Костин, коммерческий директор Uniteller.

Конференция традиционно началась с приветственных слов организаторов и выступлений Михаила Хрущева, MasterCard, и Павла Стромского, Visa.

Представители международных платежных систем в очередной раз напомнили о необходимости строгого соблюдения сроков приведения в соответствие и последующей сертификации платежных систем по стандартам PCI и PA-DSS. Павел Стромский, Visa, также рассказал о новой программе платежной системы Visa Technology Innovation Program, которая была представлена впервые 9 февраля 2011 года. Программа направлена на снижение рисков информационной безопасности и минимизации мошенничества в платежной индустрии и ориентирована на торгово-сервисные предприятия.

Одним из докладчиков конференции выступил Дмитрий Лемачко, Uniteller, с докладом

«Инфраструктура интернет-эквайринга: как упростить процедуру аудита».

Uniteller является сервис-провайдером, сертифицированным по стандарту PCI DSS. В рамках доклада с учетом знания процедуры аудита и связанных с ней особенностей были предложены варианты для минимизации проблем с использованием готовых решений.

Живой интерес участников вызвал доклад Александра Бондаренко, компания LETA, «Секреты соответствия PCI DSS: трудности, ошибки и рекомендации», в котором он подробно рассмотрел 12 разделов стандарта PCI DSS и для каждого раздела Александр выделил основные аспекты и привел рекомендации по их реализации.

Секцию, посвященную PCI DSS, завершили Александр Поляков и Илья Медведовский, Digital Security. Их доклады были посвящены практическим аспектам достижения соответствия PCI-стандартам. Александр свое выступление построил в форме демонстрации аудита защищенности платежного приложения, т.е. наглядно показал пример эксплуатации уязвимостей типового приложения. Илья, в свою очередь, подвел итоги деятельности (за 2009-2010 годы) Сообщества PCIDSS.RU, которое на протяжении трех лет занимается продвижением стандартов PCI в России и странах СНГ и развитием данного направления, и исследовательского центра компании DSecRG, сотрудники которого ищут и анализируют уязвимости приложений и систем, что с точки зрения платежной индустрии важно и необходимо в отношении платежных приложений, сертифицируемых по PA-DSS.

В отдельную заключительную, но не менее значимую секцию организаторами конференции была вынесена безопасность систем ДБО, потому что с точки зрения комплексного подхода, обеспечение должного уровня безопасности напрямую зависит от всех элементов ИС банка (ДБО, АБС и прочих). Докладчиками секции выступили Алексей Тюрин, Digital Security, и Павел Крылов, Swedbank. Алексеем была проведена демонстрация анализа защищенности банк-клиента.

Павел Крылов поделился практическим опытом обеспечения безопасности систем ДБО в кредитных организациях, в том числе он привел ряд примеров инцидентов, возникающих в банках. Секция закончилась живой дискуссией по вопросам, касающимся ответственности за возникающие инциденты, а также роли банков, разработчиков и Управления К в расследовании инцидентов и предотвращении мошенничества. «Эффективность конференции определяется не только количеством новой информации, но и накалом обсуждений и обменом контактов для дальнейшего общения. Если подвести итоги, то однозначно конференция была представлена

во всех трех аспектах», - отметил Павел Крылов, Начальник Отдела ИТ-рисков Swedbank.

«Итоги конференции позволяют говорить о том, что вопросы безопасности платежных систем, в число которых входят не только системы, связанные с данными о держателях карт, но и банк-клиенты, АБС и прочие, используемые участниками платежной индустрии, не теряют актуальности. Участниками конференции в 2011 году явились представители организаций, присутствующих в прошлом году, и представители компаний – новых участников рынка, которые, что не может не радовать, учитывают необходимость внедрения стандартов и организовывают разработку систем в соответствии с ними еще на этапе проектирования. Мы рады, что мероприятие становится традицией и намерены развивать и расширять тематику конференции, подходя к вопросам безопасности с практической точки зрения, позволяющей под другим углом взглянуть на вопросы безопасности», - отметил Илья Медведовский, директор Digital Security.

Все материалы конференции доступны на сайте конференции http://pcidssrussia.ru/ru/program/.