Электронную торговлю вводят в рамки
Британские регулирующие органы заставляют местные интернет-магазины ужесточать меры по охране конфиденциальной информации их клиентов.
С 30 июня этого года все британские интернет-магазины должны будут выполнять жесткие требования по защите информации, разработанные ведущими мировыми компаниями-эмитентами кредитных карт. Гарантией соблюдения этих стандартов станет ежегодная сертификация и поквартальные проверки. Магазины, отказывающиеся принимать вновь введенные правила, могут быть закрыты.
Решение об ужесточении режимных мер было принято после отмеченного наблюдателями роста числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена. Так, в феврале этого года Bank of America сообщил об утрате информации по более чем 1.2 млн. своих клиентов (если верить заявлению, на текущий момент нет оснований полагать, что утраченная информация попала в руки преступников). О фактах утраты конфиденциальной информации в результате хакерских атак в последнее время сообщали и такие компании как LexisNexis, ChoicePoint и HSBC. По оценкам аналитиков, с начала текущего года злоумышленники смогли получить доступ к конфиденциальной информации более чем 2 млн. клиентов интернет-магазинов и электронных платежных систем.
В подобных условиях компании-эмитенты кредитных карт, такие как Mastercard, Visa, American Express, Diners, Discover и JCB, посчитали необходимым повысить уровень защищенности конфидециальной информации, используемой при осуществлении денежных платежей через интернет. Напомним, что до последнего времени в мире не существовало единого стандарта защиты такой информации, так что эмитенты кредитных карт и банки были вынуждены разрабатывать под свои нужды стандарты самостоятельно. Однако, "...[сегодня] стало совершенно очевидно, что проблема обеспечения безопасности информации стоит перед всей индустрией и должна решаться сообща", - говорит Джон Вердеши, вице-президент подразделения Mastercard по интернет-безопасности и электронной коммерции.
В результате все крупные компании-эмитенты кредитных карт начали совместную работу над созданием и внедрением стандартов Payment Card Industry Data Security Standards ("Стандарты защиты информации в индустрии платежных карт" - "стандарты PCI"), призванных повысить защищенность электронных торговых и платежных систем. Для того, чтобы претендовать на соответствие этим стандартам, компании-операторы должны четыре раза в год проверять свои платежные системы, а также ежегодно проводить их аудит. Подразумевается, что стандартам PCI должны будут соответствовать все интернет-магазины, обрабатывающие свыше 20 000 трансакций в год, вне зависимости от их национальной принадлежности. По словам корреспондентов агентства новостей ВВС, речь идет о десятках тысяч торговых предприятий.
В стандартах PCI, в частности, оговаривается длина используемых в системе паролей, частота их смены, порядок доступа сотрудников магазина к информации о кредитных картах его клиентов и т.д. По словам специалистов, лучшим стимулом к введению стандартов PCI являются штрафные санкции, которые могут быть введены в отношении компании, допустившей утечку конфидециальной информации их клиентов. "Если вы не примете эти правила и совершите ошибку, то для вас это будет стоить очень дорого", - говорит г-н Вердеши.
По словам Криса Диппла, технического директора британской процессинговой компании SecPay, стандартам PCI должны соответствовать все компании, занимающиеся торговлей через интернет. "Банки просто не будут с тобой разговаривать до тех пор, пока вы не введете у себя эти стандарты", - говорит он. По словам г-на Диппла, для того, чтобы доказать защищенность своих информационных систем, многим торговым компаниям придется коренным образом перестроить свой бизнес. "Я буду советовать вводить у себя эти стандарты всем более или менее крупным электронным торговцам, даже если их к этому пока и не принуждают Visa или Mastercard", - говорит он.
По материалам BBC News, 18.04.05
Русский перевод www.worldeconomy.ru
