https://globalmsk.ru/firmnews/id/21278

Как мы выяснили ранее, сегодня 8 из 10 участников рассматриваемого нами рынка, пользующихся услугами внешнего сертифицированного поставщика, ограничиваются передачей в зону ответственности сторонней организации только требований к физической безопасности (пользуются услугой colocationс PCIDSS). Однако если посмотреть на структуру услуг по выполнению требований PCIDSS, которые участники рынка считают востребованными, то уже больше половины респондентов называют наиболее перспективными услуги PCIDSS compliant IaaS (32 %) и управляемые сервисы MSP (21 %).

Основной фокус сейчас направлен на физическое размещение (colocation) и аренду виртуальной серверной инфраструктуры (IaaS).

Мы проходили первый аудит PCI DSS еще в 2010 году и закрывали все требования стандарта своими силами. На данный момент дата-центр, в котором размещается наше оборудование, также прошел сертификацию. Это позволяет полностью закрыть вопрос физической защиты информационной инфраструктуры на уровне дата-центра.

Физическое размещение и виртуальная серверная инфраструктура — это наиболее перспективные сегодня уровни аутсорсинга выполнения требований стандарта PCI DSS. Иван Сергеев,технический директор ЗАО «МОБИ.Деньги»

При этом отмечается тенденция к постепенному переходу от физического размещения к более высоким уровням передачи ответственности — к виртуальной инфраструктуре.

Если мы передаем сертифицированному поставщику ответственность за реализацию некоторой части требований стандарта безопасности, то это очевидно облегчает нам задачу прохождения сертификации. Но, во-первых, такой трансфер ответственности не всегда возможен, а во-вторых, в России просто нет более опытных, чем мы сами, поставщиков!

Между тем возможность передать часть работы на аутсорсинг в целях оптимизации довольно интересна. Сейчас на отечественном рынке распространены варианты сертифицированного физического размещения (colocation). Следующий закономерный этап развития таких услуг — сертифицированная по стандарту PCI DSS виртуальная серверная инфраструктура (IaaS). Виталий Фанов,директор по информационной безопасности Сhronopay

Ежегодно стандарт PCI DSS меняется, дополняется чем-то по требованиям международных платежных систем. Чтобы подтверждать свое соответствие, мы применяем эти изменения на практике, следовательно, и безопасность в этой сфере улучшается. В нашей компании есть целый отдел, который занимается этим направлением.

На сегодняшний день мы пользуемся услугами сертифицированного дата-центра, который закрывает требования PCI DSS по физической безопасности. Сертифицированные облачные сервисы как продолжение развития аутсорсинга в этом направлении, возможно, будут представлять определенный интерес. Игорь Звоник, генеральный директор ООО «Нэт Пей»

Еще более высокие уровни ответственности за выполнение требований в рамках услуг, обобщенно называемых управляемыми сервисами, могут быть поддержаны в том числе и сертифицированными по PCIDSS SaaS-решениями.

Ежедневная работа — залог успешного прохождения PCI DSS, а для того, чтобы она была качественной и эффективной, необходима автоматизированная система по задачам, процессам, которая связывала бы аудитора QSA (консультанта) c самой компанией и напоминала бы о важных задачах по выполнению требований стандарта, агрегировала новости в данной предметной области (уязвимости, угрозы), формировала бы отчеты в требуемых форматах и так далее. Подобных систем или нет, или они узкофункциональны. Эта услуга может предоставляться в виде SaaS.
Виртуализация с выполнением требований стандарта PCI DSS (сертифицированный IaaS) — это также услуга, которая имеет неплохие перспективы в будущем. Уже сейчас она востребована, и в развивающихся странах с учетом роста эмиссии и использования пластиковых карт при оплате товаров и услуг будет все более интересна для участников данного рынка, для поставщиков услуг. Александр Борисов, технический директор системы электронных платежей PayOnline

Общий вектор развития в направлении передачи ответственности, как отмечает большинство респондентов, — переход в облака.

Мы, как процессинговый центр, сертифицируем нашу систему как Paymentserviceprovider. И основной сложностью является соблюдение одновременно требования PCI DSS и российского законодательства. Очень много противоречий — например, после сертификации фаервола по стандартам ФСТЭК не допускается его обновление, а по требованию PCI DSS — уязвимость должна быть устранена в течение 3 месяцев.

С точки зрения передачи части ответственности сертифицированному поставщику все сервисы достаточно перспективны. И сейчас тенденция такова, что все стараются уходить в облако, т. к. это снижает издержки, и платежные сервисы не исключение</cite>. Зураб Мальсургенов, ИТ-директор PayU

Что же тормозит внедрение облачных решений в области реализации требований PCIDSS? Как выяснилось — незрелость отечественного рынка, отсутствие сертифицированных по PCIDSS облачных поставщиков (облачные провайдеры, которые заявляют о том, что сертифицированы по PCIDSS, на деле могут закрывать только требования к физической безопасности на уровне colocation).

Передача ответственности за реализацию части требований по безопасности сертифицированному поставщику очень сильно облегчает жизнь. По физическому хранению данных в стандарте достаточно большой список требований. Мы арендовали серверное оборудование в дата-центре, сертифицированном по PCI DSS, и подписали матрицу ответственности, где все эти пункты поставщик берет на себя. Это очень удобно: требования к физической безопасности мы для себя вычеркнули, потому что это теперь не наша зона ответственности.

В перспективе же наиболее популярными будут облачные сервисы, поскольку сегодня в рамках соответствия PCI DSS в России можно получить в основном только colocation. Это сильно сковывает. Мы берем серверы в лизинг, хотя могли бы заключить договор на облачную инфраструктуру и пользоваться тем количеством ресурсов, которые нам действительно необходимы. Я точно знаю, что некоторые компании не соблюдают требования PCI DSS, пользуясь несертифицированными облаками. Когда это перейдет в официальное поле и можно будет использовать облако, сертифицированное по PCI DSS, думаю, это будет наиболее востребованной услугой. Станислав Лакин, ИТ-директор Paymo

Облака и управляемые сервисы

Спрос и потребности бизнеса рождают предложение. И в прошлом году несколько наиболее крупных облачных провайдеров сертифицировали свои платформы по стандарту PCIDSS, что дало им возможность брать на себя ответственность за выполнение требований PCIDSS на уровне, включающем виртуальную инфраструктуру (IaaS).

Если говорить о нашем процессинге (IPSP), то требования стандарта PCI DSS мы закрываем практически полностью, кроме хостинга наших серверов, который подходит под требования лучше, чем если это делать собственными силами. Свою серверную инфраструктуру мы размещаем в сертифицированном дата-центре.

Облачные сервисы хостинга в модели IaaS (аренда виртуальной серверной инфраструктуры) — это наиболее перспективный уровень PCI DSS сертифицированных сервисов, поскольку сейчас появилась тенденция к снижению стоимости данной услуги и количество поставщиков в России возрастает. Иван Курочкин, технический директор AcquiroPay

Аналогично, на базе облачных решений, в России появились и сертифицированные MSP-решения.

На сегодняшний день мы пользуемся услугой colocation в Москве, требования по ограничению физического доступа к системам реализуются дата-центром, сертифицированным по стандарту PCI DSS в соответствующей области.

Мы следим за тем, что может предложить рынок и насколько целесообразно применение новых услуг у нас. Перспективным видится вынесение в зону ответственности поставщиков услуг уровня управляемых сервисов (MSP): виртуальная инфраструктура, межсетевой экран, WebApplicationFirewall, IPS/IDS, сервер журналирования событий. Владимир Канин, основатель и генеральный директор сервиса мобильного эквайрингаPay-Me

Вместе с тем некоторые компании с опаской смотрят на предоставление доступа к своей инфраструктуре компаниям-аутсорсерам, несмотря на строгость аудиторов при сертификации таких поставщиков. Тем не менее colocationи IaaS — это те уровни, использование которых не вызывает опасений у большинства игроков рынка.

Управляемые сервисы (услуги администрирования, журналирования и т.п.), с одной стороны, позволят заказчику существенно снизить свои затраты на обеспечение этих функций, а с другой — это может идти в разрез с его пониманием безопасности. Не все компании готовы предоставить доступ к своей внутренней инфраструктуре и данным.

Между тем colocation и виртуальная инфраструктура (IaaS) востребованны всегда. Это позволяет тратить меньше ресурсов на соблюдение закрываемых требований. Александр Львов, руководитель ИТ-департамента «ДеньгиOnline»

Также заметна тенденция: чем крупнее организация, тем больше она задумывается об аутсорсинге и использовании облачных сервисов, в том числе и в сфере передачи ответственности за выполнение требований стандарта PCIDSS.

Мы передаем поставщикам, сертифицированным по PCI DSS, ряд сервисов на аутсорсинг. Это дает снижение затрат на поддержание собственной инфраструктуры, а также освобождает наших специалистов от выполнения непрофильных задач, позволяя сосредоточиться только на бизнесе компании.

В перспективе содержание собственной серверной инфраструктуры становится нецелесообразным, т. к. использование облачных сервисов выгодно, удобно и надежно — это общемировой тренд<. Кирилл Иванов, директор по эксплуатации группы компаний Assist

В заключение приведем комментарий одного из первых российских облачных провайдеров, сертифицировавшего по PCIDSS как свою виртуальную инфраструктуру в модели IaaS, так и управляемые сервисы на ее основе.

В отличие от большинства российских стандартов и систем сертификации, аудит на соответствие PCIDSS — это действительно работающий инструмент, который затрагивает не только процессы, но и техническую реализацию этих требований. Доверие к результатам внедрения этого стандарта обусловлено строгим контролем со стороны международных платежных систем.

На подготовку к сертификационному аудиту нашего облака мы потратили больше года, и в 2015 году успешно сертифицировали по PCIDSS свои услуги PCIDSS complianthosting на всех востребованных рынком уровнях передачи ответственности: colocation, IaaS и MSP (управляемые сервисы). Наши клиенты — банки, платежные системы, шлюзы и торгово-сервисные предприятия — получают все преимущества от сертификации PCIDSS с минимальными усилиями (при аудите большая часть требований формально закрывается посредством предоставления нашего PCIDSS сертификата сервис-провайдера). Александр Стародубцев, заместитель генерального директора группы компаний «ИТ-ГРАД»