Payler: обновление сертификации PCI DSS до версии 3.0 — DONE

в 8:38, , рубрики: ecommerce, pci dss, аудит безопасности, безопасность платежей, Блог компании Payler, интернет-эквайринг, информационная безопасность, платежные системы, платежный шлюз, Разработка под e-commerce, электронная коммерция, электронные платежи

Payler: обновление сертификации PCI DSS до версии 3.0 — DONE - 1

Дорогие друзья,

Мы в Payler уделяем особое внимание защите данных держателей карт. Еще до нового года мы обозначили свои планы относительно обновления сертификации безопасности PCI DSS до версии 3.0, так как понимали, что в скором будущем текущая версия 2.0 устареет и перестанет отвечать постоянно растущим требованиям к уровню безопасности.

Мы прошли аудит PCI DSS версии 3.0 и спешим рассказать вам, как это было. Но сначала отметим ключевые изменения в процессе обеспечения безопасности, отличающие версию 3.0:

  • В версии 3.0 запрещено хранение критичных аутентификационных данных после авторизации в любом, даже зашифрованном виде;
  • Добавлена необходимость идентификации и учета всех системных компонентов, на которые распространяется действие стандарта PCI DSS;
  • Расширен перечень общедоступных сетей;
  • Добавлено требование проводить периодические проверки всех операционных систем, а не только «подверженных атакам», как было раньше;
  • Добавлена новая уязвимость кода в требование по противодействию взлому механизма аутентификации;
  • Введен новый термин «механизм обнаружения изменений», призванный фиксировать все несанкционированные изменения критичных системных файлов;
  • С 30 июня 2015 года станет необходимо внедрять методологию тестирования на проникновение, а само тестирование, помимо прочего, должно теперь оценивать эффективность сегментации.

Кроме того, версия 3.0 ознаменовывает собой переход от паролей к идентификационным фразам – более сложным и надежным.

Как это было

Как и в прошлый раз, аудит проводила датская компания Fortconsult. По сути, весь процесс делится на две неравные части: многоэтапную подготовку и, собственно, сертификационный аудит. Вторая часть – сертификация – заняла три рабочих дня, на протяжении которых аудитор работал вместе с нашим техническим директором у нас в офисе.

Еще до встречи с аудитором, мы проделали значительную подготовительную работу — прошли все процедуры по выявлению уязвимостей информационной системы, провели тест на проникновение, собрали и структурировали необходимую документацию и т.д. К слову, в этот аудит действительно ощутилось некоторое ужесточение требований к хранению данных о держателях карт и к разделению полномочий и прав доступа к этим данным, которое можно выразить двумя строками:

Если можете не хранить ДДК – не храните,
Если можете не расшаривать доступ – не расшаривайте.

Теперь дело стало за малым — дождаться сертификата.

Несмотря на довольно большой объем проделанной работы, мы довольны и результатами, и самим процессом прохождения аудита. И еще: совсем не кстати, но тем не менее. Накануне 1 апреля — когда истерия на тему будущего Visa в России достигла апогея — мы обнаружили, что все наши банки-эквайеры подключены к НСПК. А это значит, что неполадки и перебои — какими бы они ни были — не затронут наших мерчантов.

Следите за обновлениями!

С любовью,
Payler

Присоединяйтесь к нам на Фейсбук

Автор: Polonium84

Источник

Поделиться новостью

* - обязательные к заполнению поля