Успешное развитие карточного бизнеса банка подразумевает появление новых клиентоориентированных услуг, программ лояльности, мобильных платежей, выпуск предоплаченных карт и т.п. Разработка и поддержка таких услуг для банка обычно означает привлечение сервис-провайдеров и передачу непрофильных видов деятельности на аутсорсинг.

При этом ответственность за соответствие требованиям международных платежных систем и стандарту информационной безопасности PCI DSS продолжает нести банк. Поэтому он требует от сервис-провайдера, предоставляющего карточные услуги, подтверждение выполнения применимых к нему требований. Чаще всего таким подтверждением оказывается документ Attestation of compliance. Для банка важно, чтобы этот документ соответствовал предоставляемым сервис-провайдерами услугам. Например, если сервис-провайдер предоставляет услуги по обработке данных платежных карт, используя при этом публичные интернет-ресурсы, то сервис-провайдер должен подтвердить выполнение требований по ASV-сканированию.

Нередки   случаи,   когда   наличие Attestation of compliance не предполагает такого подтверждения, поэтому банку необходимо убедиться, что в документе отмечено выполнение соответствующего раздела требований. В противном случае при получении сертификата PCI DSS кредитная организация должна будет проводить дополнительные работы и нести дополнительные затраты.

Для правильного выстраивания договорных отношений с сервис-провайдерами и выполнения требований регуляторов полезно понимать, что такое ASV-сканирование. По сути это сканирование уязвимостей сети, которое, в соответствие с требованием пункта 11.2 стандарта PCI DSS, должно проводиться как минимум ежеквартально или после значительного изменения в инфраструктуре сети. Требования и методика проведения ASV-сканирования определены документом ASV Program Guide, разработанным PCI Security Standards Council. Проводить ASV-сканирование имеет право компания, обладающая статусом Approved Scanning Vendor.

В область сканирования должны входить ресурсы, которые:
■ имеют публичные интернет-адреса;
■ обрабатывают, хранят или передают данные платежных карт;
■ соединены со средой обработки, передачи или хранения данных платежных карт;
■ являются внешними DNS-серверами по отношению к сети банка.

Если кредитная организация использует внешние DNS-серверы, на которых выполняется преобразование доменных имен в IP-адреса сети банка, то существует риск компрометации данных платежных карт за счет эксплуатации уязвимостей DNS-сервера. Для снижения этого риска должно осуществляться ASV-сканирование DNS-серверов.

Существует два стандартных подхода к проведению такого сканирования:
■ сканирование осуществляется непосредственно сервис-провайдером - компанией, предоставляющей DNS-серверы;
■ сканирование DNS-серверов осуществляется самим банком.

Во втором случае банку следует помнить о том, что договор с сервис-провайдером на проведение сканирования позволяет избежать нарушения законодательства. В договоре должны быть подробно оговорены методика и параметры проведения ASV-сканирования, точное время проведения работ, а также полный перечень DNS-серверов, арендуемых банком у данного сервис-провайдера.

Кроме очевидной необходимости выполнения ASV-сканирования для обеспечения соответствия PCI DSS есть и другая выгода для банка. Так, наличие успешно выполненных ASV-сканирований позволяет выполнить часть требований Федерального закона № 161-ФЗ «О национальной платежной системе». При обработке данных платежных карт выполнение требований этого документа необходимо.

Постановление правительства № 584 «Об утверждении Положения о защите информации в платежной системе» определяет требование (№ 4) по проведению мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем. В этом же Постановлении сформулирована необходимость организации и проведения контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже одного раза в два года.

Положение Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств» определяет требование (№ 2.16.2) по информированию оператора платежной системы о выявленных угрозах и уязвимостях в обеспечении защиты.

При этом требования к процессам выявления угроз и уязвимостей, а также их методика в нормативных документах о национальной платежной системе не определены. Таким образом, ASV-сканирование является эффективным инструментом для выполнения требований упомянутых документов: его результаты оказываются достаточными для оператора платежной системы, а регулярное проведение позволяет осуществлять контроль и оценку защиты объектов информационных систем.