7 и 8 июля в Санкт-Петербурге прошла конференция #PAYMENTSECURITY, посвященная безопасности платежей и поиску уязвимостей в платежных системах. На мероприятии выступили двенадцать спикеров из крупных компаний – представителей платежной индустрии.
Объектами всеобщего внимания стали актуальные для сообщества доклады, а также круглый стол, посвященный поиску решений в эпоху дезинтеграции глобальных рынков. Практической частью мероприятия стал 12-тичасовойворкшоп Practical Security Village от пентестеров компании Deiteriy.
В этом году конференция во второй раз прошла в онлайн-формате, с возможностью задать вопросы спикерам в прямом эфире, и набрала за два дня более 3500 просмотров.
Ключевой доклад сделал исполнительный директор компании Deiteriy Евгений Безгодов. Он познакомил слушателей с новой версией стандарта PCI DSS 4.0. Акцент был сделан на ключевых изменениях, в том числе – новой идеологии стандарта и обновленных требованиях. Переход на новую мажорную версию вызвал большой интерес слушателей, ведь независимо от геополитических изменений, стандарт PCIDSS остаётся обязательным требованием НСПК – платежной системы «Мир», и ряда альтернативных международных операторов.
Изменения внешней среды, которые с февраля текущего года ощутили на себе все участники платежной индустрии, стали основной темой мероприятия. Уход поставщиков привычных решений, изменившийся ландшафт угроз, возросшее число кибератак и пытающиеся успеть за всем этим отраслевые регуляторы. Разговор на эти темы переходил из доклада в доклад и наиболее полным образом раскрылся в ходе круглого стола, в котором, помимо экспертов компании Deiteriy, участвовали Ольга Маклашина – исполнительный директор и начальник отдела киберкомплаенс Сбербанка, технический менеджер онлайн кинотеатра IVI Александр Лапшин, эксперт по информационной безопасности Яндекс.Облака Дмитрий Кудинов, а также Дмитрий Чураков – заместитель директора филиала по безопасности АО «Атомдата-Центр». Коллеги по цеху подробно рассказали о влиянии геополитических изменений на обеспечение информационной безопасности, какие компенсационные решения были реализованы после ухода ряда вендоров с российского рынка и о введении запрета на закупку импортного программного обеспечения для объектов критической информационной инфраструктуры. Спикеры активно отвечали на вопросы участников конференции, комментировали позиции друг друга.
Ряд докладов был посвящен новым российским регуляторным требованиям: Александр Иванцов, аудитор-консультант компании Deiteriy, рассказал о правилах взаимодействия финансовых организаций с поставщиками услуг в рамках ГОСТ 57580, на примере взаимодействия с разработчиками программного обеспечения, хостинг-провайдерами и центрами мониторинга безопасности (SOC). Александр акцентировал, что при таком взаимодействии важно понимать риски и зоны контроля, необходимо формально закрепить правила договорами и матрицами разграничения ответственности, определяющими обязанности сторон. Для третьих сторон, независимых от проверяемой организации, требуется внешняя оценка соответствия ГОСТу. Коллега Александра, Виктория Гадалова, продолжила тему российской регуляторики, выступив с докладом по ОУД 4. Ее выступление было о том, к кому применима оценка по ОУД 4, и что нужно для её прохождения, перечислила подходы к реализации требований этого норматива и рассказала об условиях применения гибкого подхода к разработке банковского софта.
Тему международной сертификации платежных приложений раскрыл ведущий инженер по защите информации Deiteriy – Владимир Ковалёв. Он рассказал о безопасной разработке приложений для PCI, познакомил слушателей с особенностями новых стандартов безопасности фреймворка PCI SSF: PCI SSF Secure Software Standard, применимого к платёжным приложениям, и PCI SSF Secure SLC Standard, регламентирующего процесс безопасной разработки таких приложений. Компания Deiteriyнедавно обрела официальный статус аудитора по стандартам SSF. Тему сертификации по стандартам PСI SSFс практической стороны дополнили представители ПАО Сбербанк: Юрий Селезнёв и Виктория Суглобова. Они выступили с докладом, в котором поделились своим опытом перехода с PA-DSS на PCI SSF.
Параллельно докладам шёл воркшоп по информационной безопасности Practical Security Village. Он был особенно популярен в этом году, на него зарегистрировалось более 300 участников, многие из которых проявили заметную активность. Пентестеры компании Deiteriy создали для воркшопа инфраструктуру с заложенными в неё уязвимостями и провели обучение по их поиску. Формат воркшопа был подобран таким образом, чтобы привлечь внимание аудитории: у каждого была возможность захватывать флаги и тем самым зарабатывать очки.
Второй день мероприятия традиционно занял семинар PCI DSS Training от Петра Шаповалова – директора по развитию бизнеса компании Deiteriy. Пётр подробно рассказал об изменившихся требованиях новой версии стандарта PCI DSS 4.0. Учебный курс был обновлен в соответствии с новой версией.
Количество участников конференции растет с каждым годом. Мы будем непременно ждать следующей встречи на #PAYMENTSECURITY!
Видеозаписи выступления спикеров можно посмотреть здесь.
