Андрей Рычков, руководитель компании «Биллинговые системы»: «Наличие или отсутствие у банка сертификата PCI DSS не влияет на рядового клиента»

Поделиться

Системы интернет-банкинга, которыми пользуются российские банки, не соответствуют требованиям международного стандарта безопасности платежных карт PCI DSS. Об этом говорят результаты исследования компании Positive Technologies. Так ли это плохо на самом деле, редакции Dengi.59.ru разъяснил руководитель оператора платежей «Биллинговые системы» Андрей Рычков.

Мало, кто из неспециалистов сталкивался в принципе с понятием «стандарт PCI DSS». Давайте начнем именно с того, что это такое.

– PCI DSS – это стандарт безопасности данных индустрии платежных карт, который был разработан ведущими международными платежными системами: Visa, MasterCard, American Express, Discover, JCB – для предотвращения случаев мошенничества. Стандарт жестко регулирует требования к инфраструктуре, в которой передается, обрабатывается или хранится информация о платежных картах.

Не совсем понятно, почему требования стандарта PCI DSS были применены к системам дистанционного банковского облуживания (ДБО), ведь сам стандарт регламентирует только работу с платежными картами. А в ДБО, помимо работы с пластиковыми картами, входит огромное количество продуктов, в которых карты не используются – депозиты, кредиты, пенсионные накопления и т. д. В любом случае проведение исследования было полезно, так как позволило обратить внимание банков на бреши в их дистанционных системах. Поэтому предлагаю говорить именно о безопасности платежных карт.

Как давно этот стандарт применяется в России?

– В нашей стране внедрение стандарта началось в 2006 году. Основные требования предъявляются к розничным сетям, процессинговым центрам и другим компаниям, ведущим бизнес в сфере платежных карт. Что касается банков, то требования соответствию стандартам носит, скорее, рекомендательный характер.

Банки уже очень давно работают с платежными картами и изначально, при настройке работы, они не проходили сертификацию, так как требований безопасности в виде PCI DSS не существовало. Стоит отметить, что требования платежных систем по стандарту PCI DSS к банкам не регламентируются в российском законодательстве. Существующие давно банки разработали и внедрили собственные системы, гарантирующие безопасность платежей. Но, как показывает практика и проведенное компанией Positive Technologies исследование, существуют бреши.

Введение такого стандарта – это трудоемкий процесс для банка?

– Да, банки вынуждены потратить огромное количество времени и денег. Дело в том, что проверке подлежит каждое рабочее место, все сотрудники и программное обеспечение во всех отделениях на территории РФ. Именно с этим связана лояльность платежных систем к банкам. Но платежные системы новым банкам советуют получать сертификат соответствия, потому что им не нужно «шерстить» существующую инфраструктуру и проще выполнить требования стандарта. Также существует практика, когда банки сертифицируют одно из направлений деятельности, например, интернет-эквайринг. При этом работу с картами через кассиров-операционистов не сертифицируют.

На самом деле стандарт PCI DSS можно сравнить с ISO 9000 – серией международных стандартов, описывающих требования к системе менеджмента качества организаций и предприятий. Компания может проходить его, а может разработать и применять собственные стандарты. Но наличие сертификата ISO 9000 означает для партнеров, что предприятие работает в соответствии с самыми высокими требованиями к качеству работы и продукции. Также и сертификат PCI DSS гарантирует более качественную защиту данных о платежных картах и операций по ним.

Что будет, если у банка произойдет утечка данных?

– Платежные системы предъявят к нему претензии. Поэтому банки заинтересованы в самостоятельном мониторинге инфраструктуры, связанной с информацией о данных платежных карт. Например, при работе с операторами платежей банки требуют наличие сертификата PCI DSS от этих операторов. Кстати, оператор платежей «Биллинговые системы» в настоящий момент проходит процедуру сертификации по стандарту PCI DSS.

Наличие или отсутствие такого сертификата у банка влияет на рядового клиента?

– Особо не влияет, просто безопасность платежных операций с картами в финансовых институтах, прошедших сертификацию PCI DSS, там гарантирована выше. При совершении платежных операций с картами в сети интернет только опытный пользователь может определить, есть ли сертификат безопасности у данной платежной платформы – на сайте отображается синий знак PCI Security Standards Council.

В целом, исследование компании Positive Technologies носило скорее побудительно-рекламный характер. Компания хотела, чтобы банки обратили внимание на проблему, и, возможно задумались над прохождением сертификации.

  • ЛАЙК0
  • СМЕХ0
  • УДИВЛЕНИЕ0
  • ГНЕВ0
  • ПЕЧАЛЬ0
Увидели опечатку? Выделите фрагмент и нажмите Ctrl+Enter