Visa разрешит операторам карточных терминалов не проверяться на соответствие PCI DSS

Visa разрешит операторам карточных терминалов не проверяться на PCI DSS

Николай Головко 10 Августа 2011 - 07:20

...

Всякая компания, работающая в сфере услуг и принимающая к оплате банковские карты Visa, должна каждый год проходить проверку на соответствие требованиям стандарта PCI DSS. Вернее, так было раньше; теперь же торговцев могут избавить от этой обязанности.

Впрочем, послабления будут сделаны не просто так: рассчитывать на льготу смогут не все американские организации, а только те из них, которые согласятся установить карточные терминалы с поддержкой процессинговых технологий EMV и NFC. Первая служит основанием для производства банковских карт с чипом (в противовес магнитной полосе), а вторая обеспечивает бесконтактную оплату для владельцев мобильных устройств. В свою очередь, те, кто сохранит верность прежнему формату карт и не станет менять терминалы, будут, как и прежде, ежегодно проходить аудит.

Вся эта история связана с тем, что в настоящее время на территории США имеют гораздо более активное хождение именно банковские карты с магнитной полосой, которые считаются менее защищенными, нежели аналогичные изделия с чипом. EMV-карты, напротив, более популярны в Европе, нежели в Соединенных Штатах; руководство Visa убеждено, что "пластиковые кошельки", изготовленные по этой технологии, должны получить в США более широкое распространение. Чтобы простимулировать выпуск, использование и обработку таких карт (равно как и интенсифицировать применение на практике беспроводной платежной технологии NFC), компания и придумала свою "промо-акцию" с освобождением от PCI DSS.

Вероятнее всего, крупные сервисы и торговые сети с интересом отнесутся к предложению Visa. Каждый год подтверждать соответствие информационных систем требованиям вышеупомянутого стандарта - не такое уж простое дело: Ponemon Institute в прошлом году посчитала затраты компаний на этот аудит и обнаружила, что в среднем бизнесу приходится тратить на соответствующие процедуры до 225 тыс. долларов. Для 10% участвовавших в том исследовании организаций итоговая цена проверки достигала даже 500 тыс. долларов. Можно с уверенностью сказать, что предприниматели будут только рады снять с себя подобное бремя; впрочем, не стоит забывать и о затратах на переоборудование торговых точек новыми терминалами, которые неизбежно понесут многие желающие избавиться от PCI DSS.

Тем не менее, ряд экспертов и аналитиков поддерживает решение Visa; по их мнению, Соединенные Штаты давно нуждались в подобном стимуле, и теперь распространению EMV и развитию NFC будет дан новый мощный импульс. Если защищенность денежных средств пользователей и проводимых ими транзакций от этого возрастет, то с отказом от регулярного аудита, пожалуй, можно будет и смириться.

Computerworld

Письмо автору

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 09:54

macOS iOS Корпорации Средства криптографической защиты информации Постквантовая криптография Apple

Apple выложила код постквантовой криптографии на GitHub

Apple продолжает строить цифровой бункер на случай, если квантовые компьютеры однажды начнут вскрывать современное шифрование. Компания выложила на GitHub исходники corecrypto (своей низкоуровневой криптографической библиотеки) и подробно рассказала, как проверяет защиту iPhone, macOS от будущих квантовых атак.

Вообще вся эта история началась ещё в 2024 году с появления PQ3 в iMessage.

Тогда Apple впервые публично включила постквантовую защиту: мессенджер начал использовать новые алгоритмы не только при старте переписки, но и при регулярном обновлении ключей шифрования.

Корпорация заранее готовится к моменту, когда квантовые машины смогут ломать классическую криптографию быстрее, чем пользователи успеют придумать пароль «12345678».

Теперь Apple пошла дальше и открыла код corecrypto — библиотеки, которая отвечает за шифрование, цифровые подписи, хеширование и генерацию случайных чисел в экосистеме компании. Именно через неё работают Security framework, CryptoKit и CommonCrypto.

В репозитории появились реализации ML-KEM и ML-DSA — двух постквантовых алгоритмов, которые Apple выбрала для своей криптографии. Первый нужен для безопасного обмена ключами шифрования, второй — для цифровых подписей. Оба стандарта утверждены NIST как защита от угроз будущих квантовых компьютеров.

Но самое интересное — не сами алгоритмы, а то, как Apple всё это проверяет.

Компания выдала огромный технический разбор о том, как тестировала код перед публикацией. И судя по описанию, внутри Apple криптографию гоняют так, будто готовят запуск ядерного реактора. Обычных тестов им оказалось мало: пришлось строить собственную систему формальной верификации, потому что существующие инструменты не покрывали все сценарии.

Проблема в том, что corecrypto работает сразу на куче устройств с разными версиями Apple Silicon, а часть кода написана не только на C, но и вручную оптимизирована под ARM64.

В итоге Apple утверждает, что формальная верификация уже помогла найти критические ошибки, которые обычное тестирование не заметило бы. Например, компания обнаружила пропущенный шаг в ранней реализации ML-DSA. В редких случаях это могло приводить к некорректным криптографическим вычислениям без каких-либо предупреждений. Заодно инженеры нашли ошибку даже в стороннем математическом доказательстве и самостоятельно её исправили для своих параметров.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!