20.11.2012

Стандарт PCI DSS в контексте Национальной платежной системы

Взял на себя смелость опубликовать эту новость, т.к. она достаточно важен на мой взгляд. Помните картинку из заметку про будущее НПС? В ней блок платежных карт был выделен в отдельное направление регулирование. Очевидно, что отдельной ветвью регулирования должна была стать и информационная безопасность денежных переводов с помощью платежных карт. У ЦБ же кроме писем 120-Т и 154-Т на эту тему по сути ничего и не было; что отчасти и логично - Банк России не занимается платежными картами. Зато у нас был стандарт PCI DSS от соответствующего совета PCI Council. И у банков всегда возникал вопрос, а можно ли как-то объединить СТО БР ИББС и PCI DSS? Ведь требования во многом схожие.

На последнем магнитогорском форуме (регистрация, кстати, уже началась) Андрей Петрович Курило упомянул, что речь ведется о том, что локализованный и согласованный с PCI Council вариант PCI DSS будет принят в России как нормативный акт ЦБ, но не в виде прямого применения, а путем заимствования ключевых его положений и включения их в одну из РС (рекомендации по стандартизации) в СТО БР ИББС. С тех пор об этой инициативе не было ни слуху ни духу (кроме редких высказываний на различных мероприятиях). Но вот вчера произошли серьезные подвижки.

В ПК1 ТК122 по безопасности финансовых операций поступил набор из 10 документов, входящих в состав PCI DSS 2.0. К письму прилагалось пояснительная записка, в которой говорилось, что по инициативе Банка России PCI Council осуществляет проект по официальному переводу стандарта PCI DSS и сопутствующих документов на русский язык. Целями этого проекта являются:
  • аутентичный перевод на русский язык PCI DSS и сопутствующих документов, официально признаваемый PCI Council;
  • размещение перевода и поддержка его в актуальном состоянии при изменений версий стандарта PCI DSS на сайте PCI Council;
  • использование перевода для более эффективного внедрения PCI DSS в РФ для участников международных платежных систем;
  • использование перевода как основы для разработки Банком России национальных требований и рекомендаций к индустрии платежных карт.

НП «АБИСС» по поручению Банка России является оператором данного проекта по переводу PCI DSS.

Что интересного в этой новости? Во-первых, появится первый официальный перевод стандарта. Имеющиеся сейчас переводы Информзащиты и Digital Security местами не совпадают и всегда возникает вопрос в их аутентичности. Тут достоверность будет подтверждена на уровне самого совета PCI Council. Во-вторых, стандарт появится на сайте совета, тем самым статус России и Банка России в данном вопросе также поднимутся. И, наконец, стало понятно, что ЦБ не будет разрабатывать что-то свое, особое и непохожее на принятый уже многими российскими банками PCI DSS, а воспользуется лучшими практиками. Дело останется за малым - признать прохождение аудита по СТО БР ИББС за аудит по PCI DSS и процесс можно будет считать завершенным. Причем завершенным именно так, как того ждут многие кредитные организации.

ЗЫ. Хочу заметить по поводу планируемого магнитогорского форума. Мероприятие планируется быть интересным. Учитывая время его проведения, можно предположить, что на нем мы услышим самые последние новости по части нормативной базы НПС (а там готовятся новые документы), СТО БР ИББС (там тоже грядут изменения), PCI DSS в описанном в заметке контексте, персональных данных от ФСТЭК и ФСБ, требований Роскомнадзора и т.п. Как минимум, с регулятивной точки зрения мероприятие стоит того, чтобы его посетить. А инсайдерской информации ;-) и с других точек зрения контент и форма его подачи будут более чем интересными для банков.

4 коммент.:

Д.Никитин комментирует...

что-то все похоже залипли на предыдущем посте (8.. а новость про PCI дает ли надежду на то, что статусы QSA и ASV станут побюджетней?

Алексей Лукацкий комментирует...

Несвязанные вещи

rsibi комментирует...

"Дело останется за малым - признать прохождение аудита по СТО БР ИББС за аудит по PCI DSS и процесс можно будет считать завершенным"
Смеетесь? Visa и Master ни когда не признают. Смысл?. PCI DSS - тоже их бизнес.

Алексей Лукацкий комментирует...

Не все так однозначно