Эти требования изложены в международном стандарте PCI DSS (Payment Card Industry Data Security Standard). Прохождение аудита на соответствие требованиям этого стандарта — серьезная задача для предприятия. Чтобы разобраться в сложностях подготовки к сертификации и способах облегчить эту задачу, мы обратились с вопросами к тем участникам рынка, для которых сертификация PCI DSS является необходимым требованием для нормальной работы, — к платежным системам и шлюзам.
В апреле 2016 года журналисты редакции Первого блога о корпоративном IaaS провели опрос среди 50 наиболее значимых игроков на рынке электронных платежей в России и Казахстане. Крупнейшие платежные системы и шлюзы рассказали нам о том, какие сложности сопровождают подготовку к аудиту на соответствие PCI DSS, как можно облегчить эту задачу и на каком уровне передать ответственность за выполнение требований стандарта внешнему поставщику.
Преимущества сертификации PCI DSS
Подготовка к аудиту и реализация требований — это не только трудоемкая задача, но и новые возможности для компании. В первую очередь — это возможность повысить реальный уровень безопасности процессов внутри компании.
Основное преимущество использования PCI DSS — появление лишнегоаргумента, позволяющего убедить сотрудников подразделений, не связанных напрямую с информационной безопасностью, в необходимости выполнения элементарных процедур по безопасности. Требования данного стандарта должны реально выполняться (в отличие от требований большинства российских стандартов, подразумевающих довольно формальный подход) для того, чтобы компания соответствовала критериям, введенным международными платежными системами, и могла работать на соответствующем рынке. Это является отличным мотиватором даже для бизнес-подразделений, чей уровень грамотности в области безопасности не всегда соответствует нынешним реалиям.
Кроме того, PCI DSS структурирует понимание, к чему нужно стремиться, у самих сотрудников служб информационной безопасности. Это позволяет добиться более высокой эффективности их работы.
Павел Антипов, директор службы безопасности ООО «Контакт-Центр»
Факт прохождения аудита на соответствие стандарту PCI DSS говорит клиентам компании о действительно высоком уровне защищенности их карточных данных.
PCI DSS — это стандарт безопасности в платежной индустрии. Как и любой вопрос безопасности, это требование, выработанное годами и обусловленное всем накопленным опытом тысяч банков и сотен миллионов клиентов по всему миру. Таким образом, соответствие указанному стандарту — это не просто формальная процедура, а исключительно важный вопрос хранения, обработки и передачи данных о клиентах, использующих средства платежа. Основное преимущество заключается в том, что подобная сертификация является доказательством безопасности используемых решений для клиента.
Денис Хренов, директор по развитию бизнеса «БПЦ Процессинг»
Для платежного шлюза прохождение сертификации на соответствие требованиям PCI DSS означает наличие всеобъемлющего подхода к обеспечению безопасности. Полноценно защищать от мошеннических действий данные банковских карт помогают только комплексные меры. PCI DSS активно развивается и ежегодно обновляет требования к безопасности в компании — начиная от подбора персонала и его обучения, заканчивая целостностью и конфиденциальностью данных. Эти требования являются шкалой оценки профессионализма для самой компании.
Валерий Аблеков, технический директор Payture
Кроме того, психологически проще доверять компании, сертифицированной по PCI DSS.
Преимущества от сертификации PCI DSS можно разделить на две категории: имиджевые и технологические. С точки зрения технологии совершенно любой сервис становится более надежным и безопасным, это как гарантии сохранности данных клиентов, так и устойчивость сервиса в отношении внешних угроз (вирусы, DdoS-атаки и проч.).
Имиджевая составляющая тоже есть. Во-первых, любой сервис с сертификатом воспринимается как более надежный, хотя и не все знают, что такое PCI DSS. Но даже люди, далекие от темы кибербезопасности, при регулярных платежах онлайн видят лого PCI DSS и воспринимают его как дополнительную степень защиты, как SSL-сертификат, например.
Виктор Шашмурин, генеральный директор ООО «Магнум» (Onpay.ru)
А реализованная защита от попыток злоумышленников похитить карточные данные позволяет избежать связанных с этим убытков и штрафов.
Сертификация для нас обязательна, так что до сих пор не было возможности оценить преимущества работы с PCI DSS и без него. Но что точно можно сказать — жить с сертификатом спокойнее. Буквально за последние два года количество попыток злоумышленников взломать данные наших клиентов участились, и работа в полном соответствии с требованиями сертификата помогает снизить интенсивность головной боли. Плюс пользователи, которые видят знак PCI DSS на нашей платежной странице, показывают большую конверсию успешных платежей.
Дмитрий Попов, коммерческий директор IntellectMoney
Сертификация PCI DSS дает дополнительные преимущества и тем компаниям, которые не занимаются интернет-платежами как основной деятельностью.
Для сервис-провайдеров, компаний, оказывающих услуги интернет-эквайринга и процессинга, сертификация PCI DSS является обязательной. Это требованиям МПС.
Общими для всех преимуществами такой сертификации являются: возможность работать с банками и процессинговыми центрами напрямую, снижение издержек на посредников, возможность принимать банковские карты на собственных платежных страницах, имидж. Но главное — компаниям, решившим пройти сертификацию, так или иначе придется обращать значительное внимание на безопасность своей инфраструктуры.
Сложности при прохождении аудита в первый раз могут возникнуть на этапе построения безопасной инфраструктуры и выполнения всех применимых требований стандарта. Поддержание выполнения требований до последующих аудитов — не менее кропотливый вопрос, требующий постоянных внутренних проверок, тестирований.
Иван Кравец, руководитель информационной безопасности Intervale
Это повышает уровень сервиса при приеме платежей непосредственно на сайте торговой компании.
В качестве основных преимуществ сертификации PCI DSS можно назвать: гибкое управление процессом оплаты, включая рекуррентные платежи, не зависящие от используемого банка, и оплату в один клик непосредственно на сайте компании.
Николай Суворов, директор компании PaySto
Если же предприятие пользуется услугами интернет-эквайринга и процессинга, то сертификация PCI DSS является обязательной для компаний, оказывающих такие услуги.
Сертификат PCI DSS необходим для безопасной обработки и хранения банковских данных конечного пользователя. Если у клиента отсутствует данный сертификат, мы осуществляем обработку и хранение данных самостоятельно и все трудности берем на себя. Являясь обладателем сертификата PCI DSS, мы предоставляем своим клиентам безопасный и надежный способ проведения карточных платежей без необходимости проходить сложный процесс сертификации PCI DSS самостоятельно.
Никита Мищенко, директор отдела по развитию продуктов ECommPay
Основные сложности прохождения аудита на соответствие стандарту
Аудит на соответствие стандарту PCI DSS бывает первичный и регулярный ежегодный. Некоторые компании видят основную сложность в первичной подготовке, для этого привлекаются сертифицированные консультанты, помогающие спроектировать безопасную архитектуру, выстроить процессы и разработать документацию.
Основная сложность при подготовке к аудиту на соответствие PCI DSS заключается в первичной реализации и настройке сетевой инфраструктуры. В выполнении данной задачи помогает привлечение внешних консультантов, а реализация таких рекомендаций выполняется нашими сотрудниками.
Дмитрий Булавин, руководитель отдела рисков Wallet One
С другой стороны, для многих компаний основная сложность видится именно в поддержании соответствия между аудитами.
Мы изначально строили свою систему на основе требований стандарта. В нашем случае главная сложность состоит не в прохождении первичной сертификации PCI DSS, а в поддержании данного статуса, точнее — в процедурах управления изменениями (change-management).
Иван Притула, генеральный директор ООО «СимплПэй»
Как правило, сертифицируется не вся ИТ-инфраструктура, а только ее часть, выделенная под задачи хранения и обработки карточных данных.
Основная сложность первичной сертификации в основном заключается в определении scope — части инфраструктуры компании, в которой обрабатываются карточные данные. Чем меньше scope, тем проще, быстрее и дешевле приведение в соответствие требованиям.
Также нужно учитывать, что на прохождении аудита процесс соответствия требованиям не заканчивается, его необходимо поддерживать в дальнейшем непрерывно. Если scope выбран необоснованно большой, это приведет к существенным затратам в долгосрочной перспективе.
В целом требования PCI DSS достаточно просты и логичны, в отличие от некоторых других отраслевых стандартов. Любое требование имеет под собой конкретные риски, которое оно закрывает. Я могу рекомендовать PCI DSS как основу для обеспечения информационной безопасности небольших компаний, которые даже не имеют отношения к карточным данным.
Денис Рыбаков, начальник службы безопасности НКО «МОНЕТА.РУ»
В рамках технической составляющей подготовки к аудиту многие компании отмечают задачу проектирования и изменения архитектуры корпоративной сети.
Самое сложное, это подгонка сетей под требования PCI DSS. Процедура усложнения и развития сети может занять 2 года и больше, и очень сильно зависит от количества человек принимающих участие в заведение компании под сертификацию.
На второе место, я бы поставил процессы регламентации, организации документальной и учетной систем. Одним из самых эффективных способов сокращение количества работы для захода под требования — это грамотное определение аудиторами области применения стандарта (scope), области сети, которая будет сертифицироваться. Стандарт разрешает заводить под требования не всю сеть, а ее часть, при организации четкой границы между заводимой и не заводимой под требования частями сетей.
Лично мне кажется, что мало какие услуги, могут облегчить жизнь человеку, который заводит компанию под требования PCI DSS, хотя стандарт не ограничивает в этом, при условии составления правильного договора с компанией, предоставляющей услугу.
Дмитрий Кармишкин, Head of Technical Department of Cauri Payment system
А в рамках организационной — документирование изменений.
АО «Смартфин», которой принадлежит бренд 2can & ibox, прошло сертификацию на 2016 год по стандарту безопасности данных Payment Card Industry Data Security Standard (PCI DSS).
Основные сложности для быстроразвивающихся сервисов — сохранение необходимого уровня документирования изменений, соблюдение стандартов разработки, сохранение баланса между скоростью вывода новых продуктов и безопасностью.
Мы пользуемся услугами сертифицированного поставщика, который обеспечивает физическое размещение серверной инфраструктуры в соответствии с требованиями стандарта. Но в нашем случае это не сильно облегчило задачу сертификации, поскольку все требования мы можем обеспечить самостоятельно.
Дмитрий Богдашев, генеральный директор АО «Смартфин»
Особую сложность представляют те требования стандарта, которые допускают различные толкования. Это еще один аргумент в пользу привлечения внешних консультантов для первичной сертификации.
Некоторые требования стандарта безопасности данных индустрии платежных карт PCI DSS могут иметь различное толкование как в части применения конкретного пункта, так и в части необходимых мер для соответствия указанным требованиям. Кроме того, выполнение требований подразумевает материальную нагрузку в виде дополнительных затрат на специализированные средства защиты и персонал.
При внедрении новой функциональности в рамках проектов с платежными системами еще на этапе проектирования необходимо проанализировать материально-техническую базу компании или банка на соответствие требованиям стандарта PCI DSS и убедиться в наличии необходимых дополнительных мер по защите данных, шифрованию, логированию и аудиту. Это все способствует увеличению стоимости реализации и сопровождения проектов, но обеспечивает безопасность обслуживания платежных операций и соответствие обязательным стандартам платежных систем.
Кирилл Свириденко, генеральный директор ООО «Мультикарта»
Так или иначе, все участники рынка электронных платежных систем сходятся во мнении, что задача внедрения стандарта PCI DSS — весьма трудоемкая, требует значительных временных и финансовых затрат. Но эти инвестиции окупаются.
Прохождение ежегодного аудита на PCI DSS — сложная и ресурсоемкая задача, позволяющая контролировать внутренние бизнес-процессы и сохранность клиентских данных. Проект большой, задействованы разные подразделения, много координационных и прочих работ. Мероприятие достаточно недешевое, но в данном случае скупой платит дважды.
Нурлан Жагипаров, управляющий директор Казкоммерцбанк
Однако при достаточном уровне технической компетенции и времени на реализацию требований внедрение PCI DSS не является проблемой.
У нас своя команда опытных специалистов в области безопасности с высоким экспертным уровнем. Мы самостоятельно полностью прорабатываем все вопросы, связанные с аудитом на соответствие стандарту PCI DSS. Требования международных платежных систем направлены на безопасность. Эти требования вполне четкие и понятные. Их просто следует выполнить. Для этого необходимы ресурсы и время.
Кирилл Василенко, директор ArsenalPay
Использование услуг сертифицированных поставщиков
Для облегчения задачи регулярной сертификации большинство сертифицированных компаний пользуются услугами поставщиков, берущих на себя ответственность за выполнение части требований стандарта.
Это объясняется тем, что передача внешней сертифицированной компании части ответственности за реализацию требований PCI DSS в значительной мере упрощает жизнь.
Использование сертифицированных поставщиков, обладающих необходимой экспертизой и гарантированным ресурсом, существенно упрощает жизнь. Чем больше ресурсоемких задач можно отдать надежному партнеру, эксперту в своей области, тем лучше. При этом ключевой момент — это доверие к компании, ее деловая репутация. При достаточном уровне доверия мы готовы пользоваться сертифицированным облачным сервисом.
Тем не менее мы стараемся ограничить доступ внешних вендоров до разумной глубины, где мы чувствуем себя в безопасности. Сейчас многие боятся потерять контроль над своей приватностью, но если услуги более высокого уровня (сертифицированный IaaS, управляемые сервисы) станут нормальной рыночной опцией, которой все пользуются (как сейчас VPS/VDS), то у людей не будет рассуждений на тему «сами мы это будем делать или не сами». Они привыкнут к тому, что это надежный, безопасный, разумный способ оптимизации своих ресурсов и возможность сосредоточиться на собственном продукте.
Дмитрий Теленов, технический директор InPlat
Между тем часть компаний закрывают все вопросы соответствия своими силами.
Мы полностью обходимся своими силами и самостоятельно закрываем все требования стандарта. Уровень технической компетенции наших сотрудников позволяет нам поддерживать соответствие PCI DSS без делегирования части работ внешним поставщикам услуг.
Роман Коротков, ИТ-директор Online Payments
Сертифицированные PCI DSS поставщики могут брать на себя требования на разных уровнях реализации. Самый простой и распространенный на сегодняшний день в России — это уровень физического размещения (colocation — аренда стойки или отдельных юнитов в дата-центре, имеющем сертификат PCI DSS).
Сертификация PCI DSS необходима для нас как для IPS-провайдера (internet payment service). Требования PCI DSS к физической безопасности мы закрываем с помощью сертифицированного дата-центра.
Кузьма Михайлов, генеральный директор ООО «Международные процессинговые системы»
Вместе с тем выполнение требований на таком низком уровне, в случае если эти вопросы были проработаны компанией ранее самостоятельно, недостаточно сильно облегчает задачу сертификации.
Около года назад с целью эффективно организовать непрерывность бизнеса мы воспользовались услугами специализированного поставщика ИТ-аутсорсинга, который предоставил две независимые отказоустойчивые площадки. При выборе аутсорсинговой компании одним из основных критериев было наличие сертификата по PCI DSS. Целью данного проекта было разместить оборудование на двух отказоустойчивых площадках, в то время как функции по его администрированию оставались на нашей стороне.
В нашем случае это не сильно облегчило задачу соответствия требованиям PCI DSS, поскольку мы продолжительное время справлялись своими силами, используя серверные комнаты, находящиеся в собственности нашей компании, а физическая безопасность у нас всегда была на высоком уровне и остается на таком уровне и по сей день.
Для тех, кто впервые планирует проходить сертификацию по PCI DSS, — это облегчит задачу в части соответствия требованиям физической безопасности, т. к. данная обязанность будет возложена на сертифицированную аутсорсинговую компанию.
Марина Никулина, директор по внутреннему контролю и аудиту АО «Компания объединенных кредитных карточек» (UCS).
Следующим после физического размещения уровнем является аренда виртуальной серверной инфраструктуры (IaaS), сертифицированной по PCI DSS.
Если смотреть на возможность передать часть требований PCI DSS в зону ответственности внешнего поставщика, то относительно легко передать требования на уровне хостинга. Однако в России есть недостаток услуг по аренде виртуальных серверов, сертифицированных по PCI DSS. На сегодняшний день сертифицированный IaaS — это одна из востребованных услуг вРоссии, на которую есть спрос.
Кроме того, можно отдать часть функций по разработке специализированной компании (которая сертифицирует свое ПО по стандарту PA DSS), например Compass Plus, OpenWay и др. Но, учитывая специфику нашего бизнеса, а также наши требования к функциональности и скорости внедрения изменений, мы не смогли найти такого поставщика, поэтому все разрабатываем сами.
Кирилл Радченко, генеральный директор Best2Pay
Тогда как на западе сертифицированный по PCI DSS IaaS представлен большим количеством компаний, в России наблюдается острый дефицит поставщиков таких услуг.
Использование услуг сертифицированного поставщика весьма существенно облегчает задачу прохождения аудита. Моя позиция такова: все, что можно отдать на аутсорс, нужно отдавать.
Мы пользуемся мощностями двух дата-центров: европейского и отечественного. Они закрывают нам вопросы по физической защите данных, а также часть прочих вопросов. Если говорить конкретно, то европейский виртуальный облачный хостинг закрывает требования по физическому размещению, виртуальной инфраструктуре и управляемым сервисам (антивирусная защита, журналы, управление уязвимостями, администрирование). В отечественном дата-центре сертифицировано только физическое размещение.
В стандарте PCI DSS 12 разделов. Идеальной я вижу ситуацию, когда поставщик закрывает 11 из них — все, кроме разработки ПО, на основании которого мы предоставляем услуги нашим клиентам.
Константин Ян, co-founder, CTO CloudPayments
Более высоким уровнем аутсорсинга выступают так называемые управляемые сервисы, или услуги MSP (managed service provider).
Часть задач по соблюдению требований PCI DSS мы передаем сертифицированному сервис-провайдеру, который реализует некоторые сервисы: файрволы для веб-приложений (web application firewall), защиту на внешнем периметре, внешнее сканирование. Требования стандарта, связанные с этими задачами мы закрываем силами внешнего поставщика MSP (managed service provider). Но все внутренние работы мы проводим сами.
Антон Куранда, технический директор RBK money
На рисунке ниже представлено распределение в области использования услуг сертифицированных PCI DSS сервис-провайдеров по уровням реализации требований стандарта.
Для платежного шлюза сертификация по стандарту безопасности PCI DSS является обязательным требованием, без которого ведение бизнеса невозможно. В нашем случае серверы размещаются в дата-центре, сертифицированном по PCI DSS. Использование услуг сертифицированного поставщика, с одной стороны, облегчает задачу аудита, а с другой — позволяет перенести часть активностей, связанных с обеспечением физической безопасности, на партнера. С точки зрения прохождения аудита разделы, которые отданы на аутсорсинг, аудитором не проверяются, а формально проходятся посредством предоставления сертификата сервис-провайдера.
С точки зрения интернет-магазинов мне видится наиболее интересным сертифицированное облачное решение в моделях PaaS и MSP, когда вся инфраструктура уже полностью готова, а задачей магазина остается делать обновления приложения, с помощью которого компания предлагает основную услугу клиенту, не отвлекаясь на сторонние вопросы, связанные с сетевыми проблемами, хранением данных и так далее. Иными словами, использование облачных технологий позволяет акцентировать внимание компании на собственном бизнесе, не отвлекаясь на административные работы и снижая часть технических рисков.
В случае с платежным шлюзом предельным уровнем аутсорсинга технологий является использование аппаратной составляющей (colocation/IaaS). В связи с тем, что в наше время необходимо иметь достаточно гибкую систему, сохраняя при этом определенный уровень контроля, использование большего уровня аутсорсинга (PaaS/SaaS) в случае платежного шлюза может быть только под какие-то срочные задачи. Например, при возникновении неожиданной высокой нагрузки на время.
Антон Краснопевцев, директор по продуктам Payler
Перспективные услуги по выполнению требований PCI DSS
Как мы выяснили ранее, сегодня 8 из 10 участников рассматриваемого нами рынка, пользующихся услугами внешнего сертифицированного поставщика, ограничиваются передачей в зону ответственности сторонней организации только требований к физической безопасности (пользуются услугой colocation с PCI DSS). Однако если посмотреть на структуру услуг по выполнению требований PCI DSS, которые участники рынка считают востребованными, то уже больше половины респондентов называют наиболее перспективными услуги PCI DSS compliant IaaS (32 %) и управляемые сервисы MSP (21 %).
Основной фокус сейчас направлен на физическое размещение (colocation) и аренду виртуальной серверной инфраструктуры (IaaS).
Мы проходили первый аудит PCI DSS еще в 2010 году и закрывали все требования стандарта своими силами. На данный момент дата-центр, в котором размещается наше оборудование, также прошел сертификацию. Это позволяет полностью закрыть вопрос физической защиты информационной инфраструктуры на уровне дата-центра.
Физическое размещение и виртуальная серверная инфраструктура — это наиболее перспективные сегодня уровни аутсорсинга выполнения требований стандарта PCI DSS.
Иван Сергеев, технический директор ЗАО «МОБИ.Деньги»
При этом отмечается тенденция к постепенному переходу от физического размещения к более высоким уровням передачи ответственности — к виртуальной инфраструктуре.
Если мы передаем сертифицированному поставщику ответственность за реализацию некоторой части требований стандарта безопасности, то это очевидно облегчает нам задачу прохождения сертификации. Но, во-первых, такой трансфер ответственности не всегда возможен, а во-вторых, в России просто нет более опытных, чем мы сами, поставщиков!
Между тем возможность передать часть работы на аутсорсинг в целях оптимизации довольно интересна. Сейчас на отечественном рынке распространены варианты сертифицированного физического размещения (colocation). Следующий закономерный этап развития таких услуг — сертифицированная по стандарту PCI DSS виртуальная серверная инфраструктура (IaaS).
Виталий Фанов, директор по информационной безопасности Сhronopay
Ежегодно стандарт PCI DSS меняется, дополняется чем-то по требованиям международных платежных систем. Чтобы подтверждать свое соответствие, мы применяем эти изменения на практике, следовательно, и безопасность в этой сфере улучшается. В нашей компании есть целый отдел, который занимается этим направлением.
На сегодняшний день мы пользуемся услугами сертифицированного дата-центра, который закрывает требования PCI DSS по физической безопасности. Сертифицированные облачные сервисы как продолжение развития аутсорсинга в этом направлении, возможно, будут представлять определенный интерес.
Игорь Звоник, генеральный директор ООО «Net Pay»
Еще более высокие уровни ответственности за выполнение требований в рамках услуг, обобщенно называемых управляемыми сервисами, могут быть поддержаны в том числе и сертифицированными по PCI DSS SaaS-решениями.
Ежедневная работа — залог успешного прохождения PCI DSS, а для того, чтобы она была качественной и эффективной, необходима автоматизированная система по задачам, процессам, которая связывала бы аудитора QSA (консультанта) c самой компанией и напоминала бы о важных задачах по выполнению требований стандарта, агрегировала новости в данной предметной области (уязвимости, угрозы), формировала бы отчеты в требуемых форматах и так далее. Подобных систем или нет, или они узкофункциональны. Эта услуга может предоставляться в виде SaaS.
Виртуализация с выполнением требований стандарта PCI DSS (сертифицированный IaaS) — это также услуга, которая имеет неплохие перспективы в будущем. Уже сейчас она востребована, и в развивающихся странах с учетом роста эмиссии и использования пластиковых карт при оплате товаров и услуг будет все более интересна для участников данного рынка, для поставщиков услуг.
Александр Борисов, технический директор системы электронных платежей PayOnline
Общий вектор развития в направлении передачи ответственности, как отмечает большинство респондентов, — переход в облака.
Мы, как процессинговый центр, сертифицируем нашу систему как Payment service provider. И основной сложностью является соблюдение одновременно требования PCI DSS и российского законодательства. Очень много противоречий — например, после сертификации фаервола по стандартам ФСТЭК не допускается его обновление, а по требованию PCI DSS — уязвимость должна быть устранена в течение 3 месяцев.
С точки зрения передачи части ответственности сертифицированному поставщику все сервисы достаточно перспективны. И сейчас тенденция такова, что все стараются уходить в облако, т. к. это снижает издержки, и платежные сервисы не исключение.
Зураб Мальсургенов, ИТ-директор PayU
Что же тормозит внедрение облачных решений в области реализации требований PCI DSS? Как выяснилось — незрелость отечественного рынка, отсутствие сертифицированных по PCI DSS облачных поставщиков (облачные провайдеры, которые заявляют о том, что сертифицированы по PCI DSS, на деле могут закрывать только требования к физической безопасности на уровне colocation).
Передача ответственности за реализацию части требований по безопасности сертифицированному поставщику очень сильно облегчает жизнь. По физическому хранению данных в стандарте достаточно большой список требований. Мы арендовали серверное оборудование в дата-центре, сертифицированном по PCI DSS, и подписали матрицу ответственности, где все эти пункты поставщик берет на себя. Это очень удобно: требования к физической безопасности мы для себя вычеркнули, потому что это теперь не наша зона ответственности.
В перспективе же наиболее популярными будут облачные сервисы, поскольку сегодня в рамках соответствия PCI DSS в России можно получить в основном только colocation. Это сильно сковывает. Мы берем серверы в лизинг, хотя могли бы заключить договор на облачную инфраструктуру и пользоваться тем количеством ресурсов, которые нам действительно необходимы. Я точно знаю, что некоторые компании не соблюдают требования PCI DSS, пользуясь несертифицированными облаками. Когда это перейдет в официальное поле и можно будет использовать облако, сертифицированное по PCI DSS, думаю, это будет наиболее востребованной услугой.
Станислав Лакин, ИТ-директор Paymo
Облака и управляемые сервисы
Спрос и потребности бизнеса рождают предложение. И в прошлом году несколько наиболее крупных облачных провайдеров сертифицировали свои платформы по стандарту PCI DSS, что дало им возможность брать на себя ответственность за выполнение требований PCI DSS на уровне, включающем виртуальную инфраструктуру (IaaS).
Если говорить о нашем процессинге (IPSP), то требования стандарта PCI DSS мы закрываем практически полностью, кроме хостинга наших серверов, который подходит под требования лучше, чем если это делать собственными силами. Свою серверную инфраструктуру мы размещаем в сертифицированном дата-центре.
Облачные сервисы хостинга в модели IaaS (аренда виртуальной серверной инфраструктуры) — это наиболее перспективный уровень PCI DSS сертифицированных сервисов, поскольку сейчас появилась тенденция к снижению стоимости данной услуги и количество поставщиков в России возрастает.
Иван Курочкин, технический директор AcquiroPay
Аналогично, на базе облачных решений, в России появились и сертифицированные MSP-решения.
На сегодняшний день мы пользуемся услугой colocation в Москве, требования по ограничению физического доступа к системам реализуются дата-центром, сертифицированным по стандарту PCI DSS в соответствующей области.
Мы следим за тем, что может предложить рынок и насколько целесообразно применение новых услуг у нас. Перспективным видится вынесение в зону ответственности поставщиков услуг уровня управляемых сервисов (MSP): виртуальная инфраструктура, межсетевой экран, Web Application Firewall, IPS/IDS, сервер журналирования событий.
Владимир Канин, основатель и генеральный директор сервиса мобильного эквайринга Pay-Me
Вместе с тем некоторые компании с опаской смотрят на предоставление доступа к своей инфраструктуре компаниям-аутсорсерам, несмотря на строгость аудиторов при сертификации таких поставщиков. Тем не менее colocation и IaaS — это те уровни, использование которых не вызывает опасений у большинства игроков рынка.
Управляемые сервисы (услуги администрирования, журналирования и т. п.), с одной стороны, позволят заказчику существенно снизить свои затраты на обеспечение этих функций, а с другой — это может идти в разрез с его пониманием безопасности. Не все компании готовы предоставить доступ к своей внутренней инфраструктуре и данным.
Между тем colocation и виртуальная инфраструктура (IaaS) востребованны всегда. Это позволяет тратить меньше ресурсов на соблюдение закрываемых требований.
Александр Львов, руководитель ИТ-департамента «ДеньгиOnline»
Также заметна тенденция: чем крупнее организация, тем больше она задумывается об аутсорсинге и использовании облачных сервисов, в том числе и в сфере передачи ответственности за выполнение требований стандарта PCI DSS.
Мы передаем поставщикам, сертифицированным по PCI DSS, ряд сервисов на аутсорсинг. Это дает снижение затрат на поддержание собственной инфраструктуры, а также освобождает наших специалистов от выполнения непрофильных задач, позволяя сосредоточиться только на бизнесе компании.
В перспективе содержание собственной серверной инфраструктуры становится нецелесообразным, т. к. использование облачных сервисов выгодно, удобно и надежно — это общемировой тренд.
Кирилл Иванов, директор по эксплуатации группы компаний Assist
В заключение приведем комментарий одного из первых российских облачных провайдеров, сертифицировавшего по PCI DSS как свою виртуальную инфраструктуру в модели IaaS, так и управляемые сервисы на ее основе.
В отличие от большинства российских стандартов и систем сертификации, аудит на соответствие PCI DSS — это действительно работающий инструмент, который затрагивает не только процессы, но и техническую реализацию этих требований. Доверие к результатам внедрения этого стандарта обусловлено строгим контролем со стороны международных платежных систем.
На подготовку к сертификационному аудиту нашего облака мы потратили больше года, и в 2015 году успешно сертифицировали по PCI DSS свои услуги PCI DSS compliant hosting на всех востребованных рынком уровнях передачи ответственности: colocation, IaaS и MSP (управляемые сервисы). Наши клиенты — банки, платежные системы, шлюзы и торгово-сервисные предприятия — получают все преимущества от сертификации PCI DSS с минимальными усилиями (при аудите большая часть требований формально закрывается посредством предоставления нашего PCI DSS сертификата сервис-провайдера).
Александр Стародубцев, заместитель генерального директора группы компаний «ИТ-ГРАД»