Участие Deiteriy в международной конференции PCI SSC European Community Meeting 2011
24 Октября 2011
Эксперты компании Deiteriy приняли участие в европейской сессии ежегодной отраслевой конференции, посвященной информационной безопасности индустрии платежных карт, прошедшей с 17 по 19 октября в Лондоне, Великобритания.
Организатором конференции явился международный регулятор отрасли – Совет PCI SSC, которому в этом году исполнилось 5 лет. Юбилейная конференция прошла в конференц-залах отеля Lancaster London, и была посвящена актуальным вопросам развития стандартов PCI DSS, PA-DSS и PCI PTS. Кроме того, состоялась широкая дискуссия по вопросам применения технологий EMV, токенизации, шифрования «точка-точка», виртуализации, мобильных приложений.
Мероприятие открыл Джереми Кинг (Jeremy King), директор европейского отделения Совета PCI SSC, поприветствовав аудиторию юбилейной конференции, собравшей рекордное количество участников – 457 человек.
Представители высшего руководства международных платежных систем Visa, MasterCard, Discover, JCB и American Express подтвердили свою приверженность стандартам PCI. Кроме того, они анонсировали планы расширения своих программ продвижения стандартов среди своих торгово-сервисных предприятий и поставщиков услуг. В частности, Эдуардо Перез (Eduardo Perez) глава департамента безопасности глобальной платежной системы Visa сказал, что Visa усилит продвижение PCI DSS и призвал все заинтересованные организации активнее участвовать в развитии программ PCI SSC.
Европейские эксперты по информационной безопасности рассказали о своём опыте выполнения законодательства о защите персональных данных и роли PCI DSS в этом процессе. Страны Евросоюза адаптировали в своем национальном законодательстве нормы Директивы ЕС 95/46/EC. Например, в Германии вопросы защиты персональных данных регулируются Федеральным Законом о защите данных (Bundesdatenschutzgesetz, BDSG), с последними поправками от 14 августа 2009 года. По словам немецкого эксперта Маттиаса Хауса (Matthias Hauss), защита данных о держателях карт согласно PCI DSS полностью укладывается в требования национального законодательства. Кроме того, они рассматривают внедрение PCI DSS как частный случай защиты одного из видов информации при внедрении стандарта ISO 27001. В итоге становятся очевидны преимущества комплексного подхода к управлению соответствием, когда в рамках одного проекта внедряется система обеспечения информационной безопасности, учитывающая требования нескольких регулирующих норм.
Эксперты Совета PCI SSC подробно рассказали о выпущенных недавно Советом инструкциях по защите карточных данных применительно к технологиям EMV, шифрования «точка-точка» (P2PE, point-to-point encryption), токенизации, виртуализации и защите данных в мобильных приложениях. В частности, они обратили внимание участников на то, что использование этих технологий ни в коем случае не отменяет необходимости выполнения требований PCI DSS. Британские коллеги отметили, что повсеместное внедрение технологии чиповых карт EMV в Великобритании значительно снизило количество случаев мошенничества при проведении транзакций в банкоматах и POS-терминалах, однако одновременно с этим значительно возросло количество мошеннических операций с платежными картами в сети Интернет.
В рамках выставки ряд компаний представил свою продукцию. Так компания Firehost представила полностью соответствующий требованиям стандарта PCI DSS 2.0 сервис облачных вычислений класса IAAS (infrastructure-as-a-service), позволяющий развернуть виртуальную инфраструктуру практически любой сложности, включая виртуальные межсетевые экраны, системы IDS/IPS и прочие устройства. Представители Firehost отметили, что занимают позицию «дружественности к аудитору», и будут способствовать проведению QSA-аудита у своих клиентов, предоставляя аудиторам любую информацию о своём дата-центре и применяя гибкий подход к заключению контрактов с клиентами. Это стоит отметить особенно, так как многие европейские QSA-аудиторы в один голос говорили о том, что очень часто дата-центры не идут на сотрудничество, в частности – не желают включить в договоры с клиентами условия, необходимые по стандарту PCI DSS.
В целом лондонское мероприятие свидетельствует о сохранении сообществом темпов развития деятельности, направленной на защиту данных держателей карт. В ближайшее время ожидается публикация Советом новых инструкций, разъясняющих методы выполнения тех или иных требований стандарта при использовании специфичных для отрасли технологий.
Организатором конференции явился международный регулятор отрасли – Совет PCI SSC, которому в этом году исполнилось 5 лет. Юбилейная конференция прошла в конференц-залах отеля Lancaster London, и была посвящена актуальным вопросам развития стандартов PCI DSS, PA-DSS и PCI PTS. Кроме того, состоялась широкая дискуссия по вопросам применения технологий EMV, токенизации, шифрования «точка-точка», виртуализации, мобильных приложений.
Мероприятие открыл Джереми Кинг (Jeremy King), директор европейского отделения Совета PCI SSC, поприветствовав аудиторию юбилейной конференции, собравшей рекордное количество участников – 457 человек.
Представители высшего руководства международных платежных систем Visa, MasterCard, Discover, JCB и American Express подтвердили свою приверженность стандартам PCI. Кроме того, они анонсировали планы расширения своих программ продвижения стандартов среди своих торгово-сервисных предприятий и поставщиков услуг. В частности, Эдуардо Перез (Eduardo Perez) глава департамента безопасности глобальной платежной системы Visa сказал, что Visa усилит продвижение PCI DSS и призвал все заинтересованные организации активнее участвовать в развитии программ PCI SSC.
Европейские эксперты по информационной безопасности рассказали о своём опыте выполнения законодательства о защите персональных данных и роли PCI DSS в этом процессе. Страны Евросоюза адаптировали в своем национальном законодательстве нормы Директивы ЕС 95/46/EC. Например, в Германии вопросы защиты персональных данных регулируются Федеральным Законом о защите данных (Bundesdatenschutzgesetz, BDSG), с последними поправками от 14 августа 2009 года. По словам немецкого эксперта Маттиаса Хауса (Matthias Hauss), защита данных о держателях карт согласно PCI DSS полностью укладывается в требования национального законодательства. Кроме того, они рассматривают внедрение PCI DSS как частный случай защиты одного из видов информации при внедрении стандарта ISO 27001. В итоге становятся очевидны преимущества комплексного подхода к управлению соответствием, когда в рамках одного проекта внедряется система обеспечения информационной безопасности, учитывающая требования нескольких регулирующих норм.
Эксперты Совета PCI SSC подробно рассказали о выпущенных недавно Советом инструкциях по защите карточных данных применительно к технологиям EMV, шифрования «точка-точка» (P2PE, point-to-point encryption), токенизации, виртуализации и защите данных в мобильных приложениях. В частности, они обратили внимание участников на то, что использование этих технологий ни в коем случае не отменяет необходимости выполнения требований PCI DSS. Британские коллеги отметили, что повсеместное внедрение технологии чиповых карт EMV в Великобритании значительно снизило количество случаев мошенничества при проведении транзакций в банкоматах и POS-терминалах, однако одновременно с этим значительно возросло количество мошеннических операций с платежными картами в сети Интернет.
В рамках выставки ряд компаний представил свою продукцию. Так компания Firehost представила полностью соответствующий требованиям стандарта PCI DSS 2.0 сервис облачных вычислений класса IAAS (infrastructure-as-a-service), позволяющий развернуть виртуальную инфраструктуру практически любой сложности, включая виртуальные межсетевые экраны, системы IDS/IPS и прочие устройства. Представители Firehost отметили, что занимают позицию «дружественности к аудитору», и будут способствовать проведению QSA-аудита у своих клиентов, предоставляя аудиторам любую информацию о своём дата-центре и применяя гибкий подход к заключению контрактов с клиентами. Это стоит отметить особенно, так как многие европейские QSA-аудиторы в один голос говорили о том, что очень часто дата-центры не идут на сотрудничество, в частности – не желают включить в договоры с клиентами условия, необходимые по стандарту PCI DSS.
В целом лондонское мероприятие свидетельствует о сохранении сообществом темпов развития деятельности, направленной на защиту данных держателей карт. В ближайшее время ожидается публикация Советом новых инструкций, разъясняющих методы выполнения тех или иных требований стандарта при использовании специфичных для отрасли технологий.
Последние новости раздела
18 апреля 2024
18 апреля 2024