Критика стандарта безопасности PCI DSS: мировой опыт

Предыдущая статья, которая была посвящена вопросу безопасности интернет-платежей вызвала протесты со стороны "болельщиков" компании Портмоне, которая была взята, чисто, для примера.

img-pcidssПросто во время написания оной статьи очень уж "шумел камыш" совместной  акции Портмоне с софтверным гигантом. Судя, по записям в разделе "БЕЗОПАСНОСТЬ", опорой и надёжей этой системы платежей является ее сертификация по стандарту PCI DSS, который, якобы дарит индульгенцию от любых посягательств на безопасность. Так ли это? Разберемся.

Припоминаю , когда строилась Чернобыльская АЭС, академик Александров заявил, что конструкция станции настолько безопасна, что он лично готов спать на атомном реакторе. Стал бы он делать это после 26 апреля 1986 года? Что это: фатальная случайность или системная ошибка?

«Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации»  (цитата из Википедии).

Существуют специальные лицензированные аудиторы, задача которых систематически проверять торговцев и платежные системы на выполнение условий стандарта безопасности. Это обеспечивает иллюзию поддержания надежной защищенности системы. А что же на самом деле?

А на самом деле вот что. Год назад американский хакер Альберт Гонсалес (кстати, при помощи двух наших соотечественников) совершил крупнейший в истории взлом 130 миллионов банковских карточек. На счастье их владельцев, мошенник не стал сразу тратить все деньги, а искал кому бы продать эти данные.

Информация по картам была уведена у двух серьезных компаний, занимающихся карточным процессингом и онлайн-платежами RBS WorldPay и Heartland Payment Systems. А теперь внимание: обе системы имели сертификаты PCI DSS. Событие имело широкий резонанс и вызвало массу недоумений в кругах специалистов.

Судите сами: система проходит проверку на соответствие требованиям стандарта, а вскоре после этого она взломана. Кто виноват? Компания? Аудитор? После продолжительного перевода стрелок друг на друга, компания VISA заявила, что взлома компаний, выполняющих требования стандарта PCI DSS  в природе никогда не существовало. А происшедшее стало возможным потому, что компании не до конца выполнили эти требования. К тому же на момент взлома, лицензии обеих компаний уже были отозваны. А официально об этом никто не знал из-за... административно-бумажных проволочек. Большинство западных коллег сочло этот маневр Visa «отмазкой», целью которой было обезопасить себя от многочисленных судебных исков со стороны пострадавших клиентов и торговцев.

В ходе рассмотрения инцидента в Конгрессе США было сделано заключение, что требования стандарта безопасности PCI DSS являются слишком запутанными и допускают субъективное истолкование фактов контролирующей стороной. Сами правила разработаны системами Visa и Mastercard без учета мнений участников рынка, озабоченных участившимися случаями взлома. (http://www.forbes.com/2009/03/31/visa-mastercard-security-technology-security-visa.html)

Эти правила составлены таким образом, чтобы целиком переложить груз ответственности на плечи партнеров и торговцев, которые в конечном счете, и оказываются крайними, когда «кинутые» пользователи пытаются выяснить куда девались деньги. По мнению конгрессменов, более надежные стандарты безопасности карточных платежей просто не могут возникнуть, пока их разработкой занимаются монополисты рынка.

Закономерен вопрос: а стоит ли доверять таким стандартам, если они не могут обеспечить надежной защиты? Если платежные данные пользователей продолжают с завидным постоянством утекать в руки злоумышленников?

Допустим, PCI DSS и в самом деле надежно защищает  данные на серверах платежных систем. Однако, как известно, степень прочности системы измеряется прочностью ее самого слабого звена. А самым слабым и наименее защищенным звеном в этой системе был и остается браузер. Именно через него утекает во внешний мир вся важная информация, доступная оператору базы.

Если компьютер, который подключен к интернету, имеет доступ к базе данных, то вся эта информация преспокойно может быть доступна киберпреступникам. И совершенно не важно, насколько надежно защищены сервера, и какой применяется способ шифрования данных. Гораздо важнее, что масштабы местного рынка платежных карточек недостаточно привлекательны для опытных хакеров.