https://globalmsk.ru/firmnews/id/21266

Для облегчения задачи регулярной сертификации большинство сертифицированных компаний пользуются услугами поставщиков, берущих на себя ответственность за выполнение части требований стандарта.

Это объясняется тем, что передача внешней сертифицированной компании части ответственности за реализацию требований PCIDSS в значительной мере упрощает жизнь.

"Использование сертифицированных поставщиков, обладающих необходимой экспертизой и гарантированным ресурсом, существенно упрощает жизнь. Чем больше ресурсоемких задач можно отдать надежному партнеру, эксперту в своей области, тем лучше. При этом ключевой момент — это доверие к компании, ее деловая репутация. При достаточном уровне доверия мы готовы пользоваться сертифицированным облачным сервисом.

Тем не менее мы стараемся ограничить доступ внешних вендоров до разумной глубины, где мы чувствуем себя в безопасности. Сейчас многие боятся потерять контроль над своей приватностью, но если услуги более высокого уровня (сертифицированный IaaS, управляемые сервисы) станут нормальной рыночной опцией, которой все пользуются (как сейчас VPS/VDS), то у людей не будет рассуждений на тему «сами мы это будем делать или не сами». Они привыкнут к тому, что это надежный, безопасный, разумный способ оптимизации своих ресурсов и возможность сосредоточиться на собственном продукте". Дмитрий Теленов, технический директор InPlat

Между тем часть компаний закрывают все вопросы соответствия своими силами.

"Мы полностью обходимся своими силами и самостоятельно закрываем все требования стандарта. Уровень технической компетенции наших сотрудников позволяет нам поддерживать соответствие PCI DSS без делегирования части работ внешним поставщикам услуг". Роман Коротков, ИТ-директор OnlinePayments

Сертифицированные PCIDSS поставщики могут брать на себя требования на разных уровнях реализации. Самый простой и распространенный на сегодняшний день в России — это уровень физического размещения (colocation — аренда стойки или отдельных юнитов в дата-центре, имеющем сертификат PCIDSS).

"Сертификация PCI DSS необходима для нас как для IPS-провайдера (internetpaymentservice). Требования PCI DSS к физической безопасности мы закрываем с помощью сертифицированного дата-центра". Кузьма Михайлов, генеральный директор ООО «Международные процессинговые системы»

Вместе с тем выполнение требований на таком низком уровне, в случае если эти вопросы были проработаны компанией ранее самостоятельно, недостаточно сильно облегчает задачу сертификации.

"Около года назад с целью эффективно организовать непрерывность бизнеса мы воспользовались
услугами специализированного поставщика ИТ-аутсорсинга, который предоставил две независимые отказоустойчивые площадки. При выборе аутсорсинговой компании одним из основных критериев было наличие сертификата по PCI DSS. Целью данного проекта было разместить оборудование на двух отказоустойчивых площадках, в то время как функции по его администрированию оставались на нашей стороне.

В нашем случае это не сильно облегчило задачу соответствия требованиям PCI DSS, поскольку мы продолжительное время справлялись своими силами, используя серверные комнаты, находящиеся в собственности нашей компании, а физическая безопасность у нас всегда была на высоком уровне и остается на таковой и по сей день.

Для тех, кто впервые планирует проходить сертификацию по PCI DSS, — это облегчит задачу в части соответствия требованиям физической безопасности, т.к. данная обязанность будет возложена на сертифицированную аутсорсинговую компанию". Марина Никулина, директор по внутреннему контролю и аудиту АО «Компания объединенных кредитных карточек» (UCS).

Следующим после физического размещения уровнем является аренда виртуальной серверной инфраструктуры (IaaS),сертифицированной по PCIDSS.

"Если смотреть на возможность передать часть требований PCI DSS в зону ответственности внешнего поставщика, то относительно легко передать требования на уровне хостинга. Однако в России есть недостаток услуг по аренде виртуальных серверов, сертифицированных по PCI DSS. На сегодняшний день сертифицированный IaaS — это одна из востребованных услуг в России, на которую есть спрос.

Кроме того, можно отдать часть функций по разработке специализированной компании (которая сертифицирует свое ПОпо стандарту PA DSS), например, CompassPlus, OpenWay и др. Но, учитывая специфику нашего бизнеса, а также наши требования к функциональности и скорости внедрения изменений, мы не смогли найти такого поставщика, поэтому все разрабатываем сами". Кирилл Радченко, генеральный директор Best2Pay

Тогда как на западе сертифицированный по PCIDSS IaaS представлен большим количеством компаний, в России наблюдается острый дефицит поставщиков таких услуг.

"Использование услуг сертифицированного поставщика весьма существенно облегчает задачу прохождения аудита. Моя позиция такова: все, что можно отдать на аутсорс, нужно отдавать.
Мы пользуемся мощностями двух дата-центров: европейского и отечественного. Они закрывают нам вопросы по физической защите данных, а также часть прочих вопросов. Если говорить конкретно, то европейский виртуальный облачный хостинг закрывает требования по физическому размещению, виртуальной инфраструктуре и управляемым сервисам (антивирусная защита, журналы, управление уязвимостями, администрирование). В отечественном дата-центре сертифицировано только физическое размещение.

В стандарте PCI DSS 12 разделов. Идеальной я вижу ситуацию, когда поставщик закрывает 11 из них — все, кроме разработки ПО, на основании которого мы предоставляем услуги нашим клиентам". Константин Ян, co-founder, CTO Cloud Payments

Более высоким уровнем аутсорсинга выступают так называемые управляемые сервисы, или услуги MSP (managedserviceprovider).

"Часть задач по соблюдению требований PCI DSS мы передаем сертифицированному сервис-провайдеру, который реализует некоторые сервисы: файрволы для веб-приложений (webapplicationfirewall), защиту на внешнем периметре, внешнее сканирование. Требования стандарта, связанные с этими задачами мы закрываем силами внешнего поставщика MSP (managedserviceprovider). Но все внутренние работы мы проводим сами". Антон Куранда, технический директор RBK money

На рисунке ниже представлено распределение в области использования услуг сертифицированных PCIDSS сервис-провайдеров по уровням реализации требований стандарта.

"Для платежного шлюза сертификация по стандарту безопасности PCI DSS является обязательным требованием, без которого ведение бизнеса невозможно. В нашем случае серверы размещаются в дата-центре, сертифицированном по PCI DSS. Использование услуг сертифицированного поставщика, с одной стороны, облегчает задачу аудита, а с другой — позволяет перенести часть активностей, связанных с обеспечением физической безопасности, на партнера. С точки зрения прохождения аудита разделы, которые отданы на аутсорсинг, аудитором не проверяются, а формально проходятся посредством предоставления сертификата сервис-провайдера.

С точки зрения интернет-магазинов мне видится наиболее интересным сертифицированное облачное решение в моделях PaaS и MSP, когда вся инфраструктура уже полностью готова, а задачей магазина остается делать обновления приложения, с помощью которого компания предлагает основную услугу клиенту, не отвлекаясь на сторонние вопросы, связанные с сетевыми проблемами, хранением данных и так далее. Иными словами, использование облачных технологий позволяет акцентировать внимание компании на собственном бизнесе, не отвлекаясь на административные работы и снижая часть технических рисков.

В случае с платежным шлюзом предельным уровнем аутсорсинга технологий является использование аппаратной составляющей (colocation/IaaS). В связи с тем, что в наше время необходимо иметь достаточно гибкую систему, сохраняя при этом определенный уровень контроля, использование большего уровня аутсорсинга (PaaS/SaaS) в случае платежного шлюза может быть только под какие-то срочные задачи. Например, при возникновении неожиданной высокой нагрузки на время". Антон Краснопевцев, директор по продуктам Payler

https://globalmsk.ru/firmnews/id/21288