PCI DSS 3.0: трудности перевода

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(0)
()
Опубликовано в: ,

Илья Медведовский и Павел Федоров


21 февраля в интернетах появилась новость об официальном завершении перевода PCI DSS 3.0 (третья версия стандарта PCI DSS, который определяет правила защиты клиентских данных при их обработке в платежных системах была опубликована 7 ноября 2013 года. Правила вступают в силу 1 января 2015 года. Мы пригласили специалистов компании Digital Security, специализирующейся на сертификационном аудите на соответствие международному стандарту защиты информации в индустрии платежных карт PCI DSS, разобраться во всех тонкостях нововведений. На наши вопросы отвечают Илья Медведовский – директор компании Digital Security и Павел Федоров, PCI QSA, PCI PA-QSA, CISA, директор департамента аудита банков и платежных систем Digital Security.

Русская версия стандарта появилась очень оперативно, не повлияло ли это на качество перевода?

Прежде чем ответить на этот вопрос нужно рассмотреть всю историю появления официальной русской версии стандарта PCI DSS.

Итак, стандарт PCI DSS начал победное шествие в России и СНГ в конце 2006 года. Совет PCI пренебрег необходимостью выпуска официальной русской версии стандарта и через несколько лет появились две неофициальные версии перевода PCI DSS, написанные специалистами компаний Информзащита и Digital Security. В 2009 году Digital Security совместно с Aссоциацией российских членов Европей (АРЧЕ - российская aсcоциация MasterCard) учредили Сообщество PCIDSS.RU, которое несколько лет безуспешно вело переговоры лично с Джереми Кингом и Советом PCI о необходимости создания официального русскоязычного перевода. Эти переговоры, к сожалению, так ни к чему и не привели.

В середине 2012 года новую попытку добиться от Совета PCI выхода официального перевода стандарта предприняло сообщество АБИСС, которое на то момент еще имело поддержку ЦБ РФ. Это и сыграло ключевую роль, и тяжеловесный процесс перевода с одобрения Совета PCI был запущен. В итоге, примерно через год после начала процесса версия перевода была готова, и летом 2013 года Совет PCI официально принял эту версию русского перевода (версия 2.0). Честь и хвала участникам данного процесса, прежде всего, ЦБ РФ, без которого русской версии стандарта мы бы никогда не увидели.  Так как итоговый перевод вызвал определенные нарекания российского экспертного сообщества PCI QSA аудиторов, с начала лета 2013 года, т.е. сразу же после выхода официальной версии русского перевода стандарта 2.0, АБИСС декларировала попытку все исправить и сделать "идеальную" версию русского перевода стандарта 2.0. Этим они и занимаются до сих пор уже 8-й месяц.

В начале ноября 2013 года ожидаемо вышла англоязычная версия стандарта PCI DSS 3.0. Это событие анонсировалось за несколько месяцев и все к нему были готовы.

О развитии дальнейших событий можно только гадать (наш технический контакт в Совете PCI отказался давать какие-либо комментарии). Я специально уточнял у переводчика (Евгений Бартов), который прошлым летом сразу же после выхода официального абисовской версии 2.0 вызвался бесплатно практически с нуля переделать её, про перевод PCI DSS 3.0. Ни он, ни представитель АБИСС ничего не знают про эту внезапно появившуюся версию русского перевода от Совета PCI и не имеют к ней никакого отношения.

Судя по всему, ситуация развивалась седующим образом: Совет PCI, отчаявшись годами ждать качественного перевода версии 2.0, посчитал, что больше не будет рисковать своей репутацией и последует совету одного из героев фильма 5-й элемент: "Если хочешь сделать что-то хорошо - сделай это сам". Они полностью взяли на себя инициативу по скорейшему выпуску русскоязычной версии 3.0, отдав текст стандарта в перевод сразу же после релиза версии на английском. 3-4 месяца с нашей точки зрения − более чем достаточный срок для перевода и вычитки текста экспертами. Так через 3 месяца после англоязычной появилась русская версия 3.0.

Основываясь на вышеизложенных фактах, я не думаю, что сильно промахнулся в причинно-следственных связях и сделанных на их основе выводах о том, почему через 3 с небольшим месяца после выхода англоязычной версии 3.0 появился столь долгожданный всеми русскоязычный перевод.

Это нормальный процесс и именно так и должно быть со всеми официально поддерживаемыми Советом PCI языками. Вот таким вот достаточно курьезным образом, буквально как Ералаше "по бразильской системе", в итоге появилась русскоязычная версия стандарта PCI DSS 3.0 − не прошло и 8 лет.

В чем состоит польза перевода этого стандарта для российских компаний? Нужен ли вообще перевод западных стандартов в России? Ведь официально принимаются во внимание только оригиналы стандартов.

Перевод очень важен и нужен: теперь мы можем использовать как англоязычную, так и русскоязычную версию стандарта. Это огромный плюс. В качестве подтверждения приведу слова Павла Федорова, PCI QSA, PCI PA-QSA, CISA − ведущего аудитора Digital Security, признанного эксперта в области PCI DSS, который за последние 3 года лично провел более 40 аудитов:

"Теперь, когда вышла официальная версия перевода, всем русскоязычным QSA и всем организациям, которые встали на путь соответствия, будет легче найти общий язык: раньше различные переводы позволяли различные толкования, теперь же каждый может обратиться к официальной версии. Для сотрудников организаций, которым предстоит прохождение аудитов по PCI DSS, выход официальной версии − хороший повод ознакомиться со свежей версией, ведь чтобы соблюдать требования стандарта, нужно его знать, а теперь это проще, чем когда-либо ранее".

Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.