Сертификация продукта по требованиям PCI DSS. Бред или очередной маркетинговый ход?!

Начну с предистории: Когда-то лаборатория NSS блистала на рынке сетевой безопасности, предложив независимую оценку и сертификацию средств предотвращения атак. Однако рынок этот достаточно узкий, да и интерес к сетевой безопасности постепенно угасает, сдавая позиции прикладной безопасности, теме compliance, стандартой и т.д. Но зарабатывать как-то надо и поэтому NSS стала расширять спектр своей деятельности — она ввела сертификацию Web Application Firewall, UTM, средств защиты контента.

И вот недавно NSS объявила о том, что она будет проверять соответствие (сертифицировать) различных технологических продуктов требованиям стандарта PCI DSS. Учитывая интерес к данному стандарту и его обязательность для многих, ход правильный, но… Если посмотреть на текущую версию PCI DSS 1.1, то мы увидим, что несмотря на его технологичность, он не является продуктовым. Мы не можем сказать, что один продукт соответствует требованиям стандарта PCI DSS. С точки зрения безопасности и здравого смысла это нонсенс. Максимум на что мы можем рассчитывать, это «наш продукт помогает выполнить требования x стандарта PCI DSS».

Однако маркетинг, есть маркетинг… Поэтому к тесту Антона Чувакина «Вы идиот безопасности, если…» можно добавить 9-ый вопрос: «вы считаете, что продукт может выполнить требования PCI DSS».

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Дмитрий Вострецов

    Маркетинговый ход.
    Но это не мешает вендорам, тем же Cisco, Novell и т.д., выпускать гайды о соответствии их продуктов требованиям PCI DSS (точнее функций продуктов).
    Ну в NSS решили не ждать вендоров.

    Ответить
  2. arkanoid

    Ну вроде того, да. Я давно обращаю внимание, что пара простых функций в генераторе репортов называется «pci dss compliance tool». Ну да чорт с ней.

    Ответить
  3. Алексей Лукацкий

    Но это не мешает вендорам, тем же Cisco, Novell и т.д., выпускать гайды о соответствии их продуктов требованиям PCI DSS (точнее функций продуктов)

    Не совсем так. Мы не выпускаем таких гайдов. Мы выпускаем гайды, как можно выполнить некоторые требования PCI DSS с помощью наших продуктов. Почувствуйте разницу, как говорится 😉

    Когда я говорю, что три десятка наших продуктов по ИБ помогают выполнять порядка 160 требований PCI DSS, то это малость отличается от заявления «наш продукт соответствует PCI DSS».

    Ответить
  4. Дмитрий Вострецов

    Вы правы, Алексей, не очень внимательно смотрел эти гайды. Сухой остаток — NSS просто хочет денег.

    Ответить
  5. Анонимный

    думаю, та же история и с ISO и некоторыми другими стандартами

    Вячеслав

    Ответить
  6. Алексей Лукацкий

    Ну смотря какие ISO. Тот же 15408 в чистом виде подразумевает сертификацию продуктов.

    Ответить