Как стать автором
Обновить

Комментарии 14

А вы случаем не знаете — для чего при оплате в интернете требуют ввода имени с карты (который не обрабатывается) и ручного указания ПС (вместо определения по номеру)?
В каком-то магазине видел, что ПС определялась по номеру.
Афаик, обрабатывается, если карта эмитирована банком США и процессинг тоже американский.
Скучно, но полезно. Спасибо, в избранное.
«Разрабатывать и поддерживать безопасные системы и приложения»
Интересный пункт, кто это определяет аудитор? а если у меня приложение на brainfuck?

Статья полезная, но вот хотелось бы узнать как в целом движется процесс аккредитации QSA в Европе и в России в целом, много ли их, а так же о результатах их (QSA) работы — много ли, каким порядками исчисляется количество PSI DSS compliance организаций, десятками, сотнями...?
Видимо я в терминологии запутался, под QSA я имел ввиду аудиторов.
>> Интересный пункт, кто это определяет аудитор? а если у меня приложение на brainfuck?

Аудитор проверяет актуальность установленных обновлений безопасности на всех системных компонентах и приложениях, анализирует регламенты внесения изменений в приложения и политику обновления программного обеспечения. Даже если приложение типа «brainfuck», оно, так или иначе, должно быть исследовано на наличие потенциальных уязвимостей (фаззинг, сканирование), однако существует риск, что данное программное обеспечение не будет удовлетворять некоторым пунктам требования 6 стандарта PCI DSS. В таком случае оценка «критичность» невыполнения подпунктов данного требования ложится на аудитора, которой в праве составить список компенсирующих мер.

>> много ли, каким порядками исчисляется количество PSI DSS compliance организаций, десятками, сотнями...?

Количество организаций, которые уже получили сертификат соответствия, определяется числом торгово-сервисных предприятий, которые являются партнерами МПС Visa и MasterCard, так как данные платежные системы обязывают всех своих партнеров проходить сертификацию.

Со списком организаций, получивших статус QSA, можно ознакомиться на официальном сайте PCI SSC https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php
Сервис-провайдеров (IPSP) PCI DSS Compliance можно найти в следующих списках (участники программы Visa AIS/TP и MasterCard SDP) соотвественно:

usa.visa.com/download/merchants/cisp-list-of-pcidss-compliant-service-providers.pdf
www.mastercard.com/us/company/en/docs/Compliant%20Service%20Providers.pdf

Единственное, Visa с этого года просит 5 000 USD за сохранение записи в списке/внесение записи в список провайдеров, так что не все IPSP могут быть в этом списке.
Буквально пару месяцев назад, проходили PCI Compliance процедуру.
В целом изменения коснулись:

Хранение CVV (только память).
Вычистка логов от лишней инфы.

В целом, если система хорошо спроектирована и написана, то технически пройти процедуру весьма легко.
CVC2/CVV2 если быть точным.
К CVV/CVC у Вас не может быть доступа.
Где можно проверить, проходил ли тот или иной процессинговый центр или иная аналогичная организация проверку на соответствие стандартам безопасности для работы с картами visa, mastercard и т.д? Если какая-то единая база по этому делу?
Ато много кто берётся обрабатывать запросы на оплату через инет, но на сколько этот сервис безопасен проверить сложно.
Эта процедура — уродливый костыль, так как для приема платежей в режиме онлайн она по идее не нужна. Нужно хранить закрытый ключ, например в карте (и ни при каких условиях не выдавать его наружу), а открытый — в банке-эмитенте, и использовать механизм challenge-response. Соответсвенно, перехват информации о транзакции теряет всякий смысл.

В качестве дополнительной меры — закрытый ключ гененирруется самой картой в момент производства и никогда не выдается наружу, а банк получает и сохраняет толкьо открытый ключ.

Для офлайн транзакций можно просить карту зашифровать ее ключом случайную последовательность + параметры платежа, и результат использовать как доказательство оплаты и основания для списания средств. Кстати, в этом случае, есть 2 преимущества: 1) ПС при всем желании не может подделать транзакцию на списание, так как не владеет секретным ключом 2) MasterCard и VISA (и расходы на их содержание) станут не нужны, так как подтвердить валидность карты можно будет прямым обращением к шлюзу банка-эмитента
3) Все существующи еметоды воровства данных карты станут нерабочими

Все остальные методы, включая например pin-код, CVV и прочее, уязвимы к перехвату информации. Не понимаю, зачем вообще нужна эта мгнитная полоса — чтобы платить на терминалах образца 70-х годов? Где вы такие видели?

Но нет, лучше напридумывать кучу процедур (которые не мешают создавать сомнительные платежные системы вроде киберпея, и не машают например установить 0-day троян в виндовую сеть крупной организации, процессящей данные), видимо для прокорма дочерних аудиторских организаций, вместо того. чтобы постепенно внедрять открытый, надежный, математически обоснованно безопасныйпротокол. Думаю, при массовом (потенциатьная аудитьроия — сотни миллионов человек) картридер можно будет поставлять с продающимся компьютером бесплатно. Не понимаю, почему ПС придерживаются таких ретроградских позиций.
дело в простоте, например карту можно постирать вместе со штанами, кидать, открывать двери как в фильмах и не нужен часты перевыпуск из-за порчи. Алгоритм который вы описали крут и его пытались продвинуть (чипы помните?), но как раз с ним постоянные проблемы. Статическое электричество элементарно палит все внутренности, много обращений, авторитет портится. Ну и тут идёт куча проблем с чипами. Вобщем не выгодно банкам страдать, бизнесс сильнее.
24 и 25 июня 2013 года я буду рассказывать о PCI DSS на обучающем семинаре в Питере. Практически все вопросы, затронутые здесь в комментах будут там раскрыты — статистика количества аудиторов и сертифицированных компаний в России, практика взаимодействия с банками и МПС по вопросам подтверждения соответствия, штрафов, отчетности и т.д., множество реальных кейсов выполнения требований PCI DSS, чего ждать от аудитора при сертификации и многое другое.
Приглашаю всех — участие бесплатное.
Регистрация уже открыта на pcidsstraining.ru/
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории