Безопасность карточного бизнеса - страница 65

стр.

Реализацией мер по принуждению к прохождению процедур сертификации на соответствие Стандарту и выдачей сертификатов на его соответствие занимаются платежные системы. Процессинговые центры и эквайреры имеют договорные отношения с платежными системами и вследствие этого обязаны выполнять все требования Стандарта. Торговые предприятия членами платежных систем не являются, гражданско-правовые отношения они имеют только с эквайрерами. Поэтому ответственность за соответствие торговца требованиям Стандарта возложена на эквайрера — т. е. эквайрер считается соответствующим его требованиям, если все его торговцы прошли процедуры сертификации в платежных системах. Кто будет оплачивать расходы по приведению торговца к соответствию требованиям Стандарта?

Данные расходы могут состоять из затрат на проведение аудита, пен-теста, ежеквартальных сканирований сети, мероприятий по приведению автоматизированной системы торговца в соответствие с требованиями, в том числе расходы на приобретение оборудования, программного обеспечения (соответствующего, помимо прочего, требованиям стандарта безопасности PA-DSS), принятие в штат или обучение сотрудников. У торговцев в России в настоящий момент нет никаких стимулов соответствовать данному Стандарту. Эквайрер же может понести штрафные санкции, если у его торговца произойдет компрометация данных платежных карт, а торговец окажется несертифицированным. Отсюда следует, что данные расходы, вероятнее всего, будет нести именно эквайрер, поэтому эквайрер будет крайне заинтересован не показывать платежным системам крупных торговцев путем регистрации их в платежной системе как нескольких более мелких. Для небольших торговцев необходимо проходить ежеквартальные сканирования сети и заполнять специальный опросный лист, на основании которого и делается заключение о соответствии требованиям Стандарта. По логике данный опросник должен заполнить сам торговец, так как только он знает, как у него организована защита информации. Но поскольку, как уже отмечалось, торговец не заинтересован в прохождении процедур сертификации, а это как минимум выделение человеческих ресурсов, то скорее всего данный опросный лист будет заполнять сам эквайрер. И здесь возникает интересная ситуация. Если эквайрер ответит на все вопросы «как есть», то, во-первых, это займет с его стороны гораздо больше времени для выяснения истинного положения дел у торговца, а во-вторых, будет вероятность того, что торговец не соответствует требованиям Стандарта. Это, в свою очередь, связано с риском штрафов для эквайрера от платежных систем в случае компрометации данных у торговца и ведет к необходимости приведения сети торговца в соответствие требованиям Стандарта (опять же за счет эквайрера). В случае если эквайрер ответит на вопросы «как надо», то это сэкономит ему существенные ресурсы, а также ликвидирует риск применения штрафных санкций со стороны платежной системы.

Таким образом, влияние эквайрера на торговца ограничено: сеть торговца не контролируется эквайрером; сертификация торговца за счет эквайрера приводит к удорожанию эквайринга: дополнительные затраты на сканирование, аудит, сертификацию ПО, увеличивается стоимость транзакции; эквайрер заинтересован понизить уровень торговца для сертификации; существующая схема сертификации торговцев может привести к недостоверным результатам соответствия Стандарту.

4. Существует ряд юридических аспектов в РФ для банков, которые следует отметить. По требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», который в настоящее время носит рекомендательный характер, банки и так внедряют системы защиты данных в соответствии с этими требованиями, причем сами требования принципиально не отличаются от требований Стандарта. Это означает, что общая стоимость защиты различных используемых банком автоматизированных систем еще более возрастет, при этом целесообразность этого не является бесспорной и достаточно обоснованной применительно к российским условиям.