Компании Visa USA и Mastercard в ближайшее время планируют обновить набор стандартов Payment Card Industry. Эти новые правила безопасности станут обязательными для всех онлайновых сервисов, имеющих дело с кредитками.
Обновленные правила появятся в течение ближайших пары месяцев. Интересно, что сам стандарт достаточно молод: PCI вступил в силу 30 июня 2005 года и с тех пор потихоньку внедряется интернет-магазинами и платежными системами. У тех, кто не уделит стандарту безопасности должное внимание, в скором времени могут возникнуть проблемы: от штрафов до исключения из системы. Теперь требования будет пересмотрены и дополнены еще несколькими пунктами.
Изменения коснутся, в основном, защиты данных от известных «дыр» в веб-приложениях. Кроме того, поставщики услуг должны будут убедиться, что их хостинг-провайдер может обеспечить необходимый уровень защиты персональных данных держателей карт.
Стандарт Payment Card Industry включает в себя как технологические (шифрование данных, ограничение доступа конечных пользователей, отслеживание активности), так и процедурные аспекты. Большинство правил направлено на обеспечение безопасности на уровне сети, между тем, многие из последних уязвимостей используют уровень приложения. Таким образом, имеет смысл дополнить PCI соответствующим требованиями, чтобы обезопасить участников рынка онлайновых платежей. В скором времени требования стандарта могут стать еще жестче: пока использование приложений, соответствующих требованиям PCI, является всего лишь рекомендацией, в будущем оно приобретет обязательный характер.
Сейчас количество онлайновых сервисов, полностью удовлетворяющих требованиям безопасности, сравнительно невелико. Visa отмечает, что лишь 22% участников системы с оборотом более 6 миллионов транзакций в месяц соответствуют требованиям PCI. Тем не менее, после медленного старта заметно, что количество «безопасных» участников начинает расти.