Payler: PCI DSS аудит пройден!

в 20:03, , рубрики: e-commerce, pci dss, vpn, аудит, Блог компании Payler, маркетинг, мобильные приложения, мобильный эквайринг, опыт, платежные системы, платежный шлюз, советы, эквайринг, электронная коммерция, электронные платежи

image

Дорогие друзья!

Продолжаем знакомить вас с новостями Payler и спешим рассказать, пожалуй, о самом важном событии для нас — прохождении аудита PCI DSS. Подготовка к этому знаменательному событию шла целых три месяца и вот, буквально на прошлой неделе, завершилась процедура двухдневного аудита от известной датской компании Fortconsult. Теперь ждём детальный отчет и сертификат, а пока хотели бы поделиться с вами полученным опытом.

Не будем описывать все технические подробности процедуры, тем более на страницах Хабра о ней писали не один раз (понравившаяся нам статья). Немного затронем особенности нашего опыта.

Итак, как уже писали, началось всё три месяца назад. После обращения в Fortconsult с заявкой на проведение аудита началась очная двудневная процедура сбора информации о программном продукте Payler. Так же внимание уделялось организации внутренних процессов в компании. Получив отчет со списком требований, техническая группа продолжила разработку и конфигурирование сетевой инфраструктуры с их учётом. Нам очень понравилось то, что по всем вопросам можно было в любое время проконсультироваться с представителями компании. Понимаем, что это и есть их работа, ведь именно они отвечают за качество и полноту проверки, но каждый раз, когда сталкиваешься с таким качественным сервисом, на душе становится теплее. Кстати, активно подмечали, как Fortconsult вежливо и подробно разбирает каждый запрос, и будем требовать того же от нашей службы поддержки Payler.

Подготовка к финальному аудиту включала в себя, как технические, так и юридические моменты. По юридической части необходимо учреждение отдельной компании, которая в свою очередь получает лицензии на хранение и обработку персональных данных. Далее с ней заключается договор с официально сертифицированным аудитором.

В техническом плане требовалось построить безопасную сетевую инфраструктуру с учетом сегментации, наладить процессы безопасной разработки программного продукта, а так же регламентировать действия сотрудников в случае различных ситуаций — от развертывания изменений на серверах до взлома или падения компонентов сервиса. Выполнение всех требований PCI DSS помимо реализации также фиксировалось в электронной документации, которая была представлена аудитору при финальной проверке. Это порядком сэкономило нам времени, так что рекомендуем всем проходящим аудит фиксировать всё документально.

Важным моментом прохождения PCI DSS аудита оказались различные тесты и сканирования: ASV, сканы присутствия открытых карточных данных в логах и файловой системе серверов, тесты на проникновение (внутренние и внешние). Поэтому прежде чем давать отмашку аудиторам о готовности обязательно стоит проводить первые два типа сканирований самостоятельно. Тесты на проникновение аудиторы проводят удаленно сами и предоставляют детальный отчет с итоговых индексом безопасности. У Payler — уровень High!

На очной встрече было продемонстрировано проведение транзакций через реальный банк, сделаны необходимые скриншоты на серверах, предоставлена документация (описание API, схемы, должностные инструкции, регламенты и пр.). Хотелось бы выделить требование к хранению данных о держателях карт, которое должно быть ограничено только необходимым минимумом. Это означает разработку политик, процедур и процессов хранения и уничтожения данных. В рамках проверки так же затронули и рабочие компьютеры сотрудников имеющих доступ к системе. К слову сказать, обязательно наличие VPN, двуфакторной аутентификации, фаейрволла, антивируса.

Аудитор уделил внимание и процессу разработки системы, безопасным практикам и рекомендациям. Уточнил наши процессы, способы обучения сотрудников. Не раз отмечалось, что любая компания проходящая PCI DSS должна периодически следить за новыми уязвимостями, новостями из мира безопасности. Для этих нужд у нас создан целый раздел в Confluence (Wiki), плюс введены план обучения и внутрикоммандные митинги.

В итоге, завершился аудит заключительной пачкой логов, скриншотов и отчетов сканирований.

Всего Payler преодолел более двухсот требований к продукту объединённых в 12 разделов.

Но мы справились с этим и скоро будем запускаться! Об этом сообщим вам в следующем посте. Следите за обновлениями!

С любовью,
Payler

Автор: ovakhromeev

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js