Двухфакторная аутентификация в стандарте PCI DSS

Опубликовано Olga Geo Окт 5, 2015 | нет комментариев

Пользование платежными картами для современного человека давно стало привычным делом. Но не всегда мы задумываемся о том, какую большую и сложную работу проделали компании, предоставляющие подобную услугу, сколько разнообразных требований они выполнили, чтобы у нас была возможность просто вставить карточку в щель банкомата и получить свои средства или забронировать по интернету номер в гостинице перед поездкой в отпуск.

А между тем, получить право осуществлять операции с платежными картами — не самая легкая задача. Для этого компания должна получить специальный сертификат PCI DSS. Он был разработан Советом по стандартам безопасности платежных карт PCI SSC (Payment Card Industry Security Standards Council). И является обязательным к выполнению для фирмы, желающей считаться серьезным рыночным игроком.

Солидные организации и банки однозначно откажутся от сотрудничества с фирмой, которая не выполняет требования PCI DSS. Потому как это значит, что руководство данной компании не заботится должным образом о защищенности данных, а следовательно, подвергает риску безопасность и репутацию своих партнеров и клиентов.

Что же представляет собой стандарт PCI DSS?

Документ этот состоит из двенадцати разделов, каждый из которых освещает определенное требование к защите информации о пользователях карт.

Среди них есть правила для:

• разработки, использования и поддержки структуры платежных систем;
• создания базы правовых документов, эти системы сопровождающих;
• организации надлежащего управления информационной безопасностью и т. д.

Однако, самыми уязвимыми местами с точки зрения безопасности при карточных операциях являются защищенность сетевой инфраструктуры и защита хранимой компанией информации о пользователях. Ведь именно на участке “клиент-сервер” возникает наибольшая угроза того, что передаваемые данные будут перехвачены мошенниками и использованы ими для своих корыстных целей.

Поэтому неудивительно, что в требованиях PCI DSS основное внимание уделено такому вопросу как аутентификация пользователя. Система должна быть организована так, чтобы при запросе клиента на совершение каких-либо действий, можно было однозначно определить, что это именно владелец карты. То, что одного пароля для этого недостаточно, уже давно ни для кого не секрет. Поэтому используется двухэтапная аутентификация, при которой после введения стандартного пароля еще нужно указать специально созданный одноразовый код. Обычно код этот присылается по CMC на телефон пользователя. Но более удобно и надежно проблема аутентификации может быть решена при помощи токена — специального устройства или программы, генерирующего одноразовые пароли, которые могут быть предоставлены разными провайдерами двухфакторной аутентификации, среди которых и компания Protectimus. Такой способ получения ОТР-пароля исключает возможность перехвата данных во время телефонного соединения, при том алгоритмы генерации одноразового пароля могут быть дополнительно усовершенствованны (CWYS), что еще больше усложнит задачу злоумышленнику. Пользование токенами удобно и возможно на любых устройствах, с которых может проводиться работа с платежными картами.

Хотя следование стандартам PCI DSS требует от компании довольно значительных усилий, проделанная работа положительно скажется на репутации фирмы и доверии к ней. Ведь еще издавна перед заключением сделки будущие партнеры тщательно наводили друг о друге справки у людей, пользующихся безусловным авторитетом. И только если отзывы были благоприятными, если потенциальный компаньон обладал безупречной репутацией, дело складывалось и договор заключался.

В мире современных технологий мы редко можем хотя бы посмотреть в глаза тому, кому доверяем свои деньги или другие материальные ценности. Как можно гарантировать, что они не пропадут, не станут добычей “сетевых пиратов”? Такой гарантией может стать строгое соответствие PCI DSS-стандарту. А одним из важнейших инструментов его достижения — двухфакторная аутентификация.