Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Шестая международная конференция о безопасности платежей. О чем рассказали эксперты?

15/07/22

Logo_#PAYMENTSECURITY_2022 (1)

7и 8 июля в Санкт-Петербурге прошла конференция #PAYMENTSECURITY, посвященная безопасности платежей и поиску уязвимостей в платежных системах. На мероприятии выступили двенадцать спикеров из крупных компаний – представителей платежной индустрии. Объектами всеобщего внимания стали актуальные для сообщества доклады, а также круглый стол, посвященный поиску решений в эпоху дезинтеграции глобальных рынков. Практической частью мероприятия стал 12-ти часовой воркшоп Practical Security Village от пентестеров компании Deiteriy.


В этом году конференция во второй раз прошла в онлайн формате, с возможностью задать вопросы спикерам в прямом эфире, и набрала за два дня более 3500 просмотров.

Ключевой доклад сделал исполнительный директор компании Deiteriy Евгений Безгодов. Он познакомил слушателей с новой версией стандарта PCI DSS 4.0. Акцент был сделан на ключевых изменениях, в том числе – новой идеологии стандарта и обновленных требованиях. Переход на новую мажорную версию вызвал большой интерес слушателей, ведь независимо от геополитических изменений, стандарт PCI DSS остаётся обязательным требованием НСПК – платежной системы «Мир», и ряда альтернативных международных операторов.


Изменения внешней среды, которые с февраля текущего года ощутили на себе все участники платежной индустрии, стали основной темой мероприятия. Уход поставщиков привычных решений, изменившийся ландшафт угроз, возросшее число кибератак и пытающиеся успеть за всем этим отраслевые регуляторы. Разговор на эти темы переходил из доклада в доклад и наиболее полным образом раскрылся в ходе круглого стола, в котором, помимо экспертов компании Deiteriy, участвовали Ольга Маклашина – исполнительный директор и начальник отдела киберкомплаенс Сбербанка, технический менеджер онлайн кинотеатра IVI Александр Лапшин, эксперт по информационной безопасности Яндекс.Облака Дмитрий Кудинов, а также Дмитрий Чураков – заместитель директора филиала по безопасности АО «Атомдата-Центр». Коллеги по цеху подробно рассказали о влиянии геополитических изменений на обеспечение информационной безопасности, какие компенсационные решения были реализованы после ухода ряда вендоров с российского рынка и о введении запрета на закупку импортного программного обеспечения для объектов критической информационной инфраструктуры. Спикеры активно отвечали на вопросы участников конференции, комментировали позиции друг друга.


Ряд докладов был посвящен новым российским регуляторным требованиям: Александр Иванцов, аудитор-консультант компании Deiteriy, рассказал о правилах взаимодействия финансовых организаций с поставщиками услуг в рамках ГОСТ 57580, на примере взаимодействия с разработчиками программного обеспечения, хостинг-провайдерами и центрами мониторинга безопасности (SOC). Александр акцентировал, что при таком взаимодействии важно понимать риски и зоны контроля, необходимо формально закрепить правила договорами и матрицами разграничения ответственности, определяющими обязанности сторон. Для третьих сторон, независимых от проверяемой организации, требуется внешняя оценка соответствия ГОСТу. Коллега Александра, Виктория Гадалова, продолжила тему российской регуляторики, выступив с докладом по ОУД 4. Ее выступление было о том, к кому применима оценка по ОУД 4, и что нужно для её прохождения, перечислила подходы к реализации требований этого норматива и рассказала об условиях применения гибкого подхода к разработке банковского софта.


Тему международной сертификации платежных приложений раскрыл ведущий инженер по защите информации Deiteriy – Владимир Ковалёв. Он рассказал о безопасной разработке приложений для PCI, познакомил слушателей с особенностями новых стандартов безопасности фреймворка PCI SSF: PCI SSF Secure Software Standard, применимого к платёжным приложениям, и PCI SSF Secure SLC Standard, регламентирующего процесс безопасной разработки таких приложений. Компания Deiteriy недавно обрела официальный статус аудитора по стандартам SSF. Тему сертификации по стандартам PСI SSF с практической стороны дополнили представители ПАО Сбербанк: Юрий Селезнёв и Виктория Суглобова. Они выступили с докладом, в котором поделились своим опытом перехода с PA-DSS на PCI SSF.


Параллельно докладам шёл воркшоп по информационной безопасности Practical Security Village. Он был особенно популярен в этом году, на него зарегистрировалось более 300 участников, многие из которых проявили заметную активность. Пентестеры компании Deiteriy создали для воркшопа инфраструктуру с заложенными в неё уязвимостями и провели обучение по их поиску. Формат воркшопа был подобран таким образом, чтобы привлечь внимание аудитории: у каждого была возможность захватывать флаги и тем самым зарабатывать очки.


Второй день мероприятия традиционно занял семинар PCI DSS Training от Петра Шаповалова –директора по развитию бизнеса компании Deiteriy. Пётр подробно рассказал об изменившихся требованиях новой версии стандарта PCI DSS 4.0. Учебный курс был обновлен в соответствии с новой версией.


Количество участников конференции растет с каждым годом. Мы будем непременно ждать следующей встречи на #PAYMENTSECURITY!


Видеозаписи выступления спикеров можно посмотреть здесь:
https://www.youtube.com/playlist?list=PL3SEaZaTIfFmmCVmu5Os6BKD0w10ahwzZ

Темы:КиберзащитаПресс-релизКонференцииОтрасльВебмониторэкс
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...