Рубрика «pci dss»

Наша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет аттестат соответствия 152-ФЗ по УЗ-2 (без актуальных угроз 1-го и 2-го типа). Эта же платформа входит еще и в область действия нашей системы управления информационной безопасностью (СУИБ), которую мы сертифицировали по ISO/IEC 27001:2013. Про это и про STAR Cloud Security Alliance (CSA) я обязательно как-нибудь тоже расскажу, но сегодня остановлюсь на плюсах синергии PCI DSS и 152-ФЗ для наших клиентов.
Читать полностью »

Для тех, кто еще не читал новости о том, как Burger King в своем мобильном приложении интегрировал нежелательное программное обеспечение AppSee, публикую краткую информацию:

  • AppSee — это, malware-сервис, который можно интегрировать в мобильное приложение и получить видеозапись экрана для какой-то там аналитики
  • Как видно из перехваченного видео — данные передаются без какой-либо обработки, а уже в самом AppSee видео обрабатывается и данные держателей карт (ДДК) закрашиваются черными квадратами, как они утверждают
  • Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают

Даже если поверить, что оба утверждения верные, то все равно Burger King своими действиями нарушает стандарт безопасности отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца. Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще. Обычный MITM в публичном WiFi организовать утечку ДДК, а номер телефона — вообще легчайший способ получить дубликат sim карты в любом отделении с помощью имени владельца и базовых навыков графического редактора.

Сама компания Burger King прошла проверку стандартам, а значит попадает под все карательные меры, а именно:
Читать полностью »

Аркадий — успешный стартапер. Он прочитал все книги по личной эффективности, каждый месяц открывает новые перспективные бизнесы и доволен собой, но каждый раз что-то идёт не так.

Сначала к нему в доставку элитной обуви набегают злые школьники, потом откуда-то берутся разгромные отзывы о его магазине айфонов с ТВ-антеннами, затем он открывает онлайн-казино, но люди не спешат нести туда деньги и ограничиваются бесплатным депозитом.

Как мы защищаем отзывы, покупки и путешествия от мошенников - 1
Я украл эту иллюстрацию у дизайнеров, когда они отвернулись.

В конце с бонусной карты в «Пятерочке» кто-то списывает 364 балла, накопленные за последний год на кефире и ягодах годжи, и Аркадий вскипает. Он идет в интернет с вопросом о том, как поступают другие ребята в таких ситуациях.

Этот пост про антифрод-машину Яндекс.Кассы. Под катом некоторые сценарии, в которых она защищает, и рассказ про новый API для мерчантов, который сильно усложнит работу мошенникам.

Читать полностью »

Совет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал ревизию стандарта PCI DSS 3.2.1. Как отметили представители организации, этот релиз включает в себя лишь небольшие уточнения, но при этом является подготовительным этапом перед выходом новой версии стандарта, которая ожидается в 2020 году. Что и зачем было сделано, рассказываем ниже.

Какие изменения пришли в стандарт PCI DSS, на кого они повлияют и что об этом нужно знать - 1Читать полностью »

В одном из прошлых постов мы отметили, что успешно ресертифицировали свою инфраструктуру по PCI DSS и рассказали о видах хостинга PCI DSS: co-location, IaaS Basic и IaaS Advanced. Сегодня мы подробнее поговорим о самом процессе сертификации и собственном опыте прохождения аудита.

Как пройти сертификацию PCI DSS: опыт ИТ-ГРАД - 1Читать полностью »

Недавно мы в ИТ-ГРАД успешно ресертифицировали облачную инфраструктуру на соответствие требованиям стандарта PCI DSS и получили сертификат PCI DSS Managed Service Provider, он означает, что мы можем оказывать услуги хостинга PCI DSS. Далее мы расскажем, что это такое, и познакомим вас с существующими видами сервиса: co-location, IaaS Basic, IaaS Advanced.

Хостинг PCI DSS: что нужно знать - 1Читать полностью »

Хранилище логов для облачной платформы. Опыт внедрения ELK - 1

Источник

Всем привет! Сегодня мы продолжим рассказывать про облачное хранилище Техносерв Cloud, но уже с точки зрения эксплуатации. Ни одна ИТ-инфраструктура не обходится без инструментов мониторинга и управления, и наше облако не исключение. Для решения повседневных задач, связанных с мониторингом, мы используем продукты с открытым исходным кодом, одним из которых является стек ELK. В этой статье мы расскажем, как в нашем облаке устроен мониторинг журналов, и как ELK помог нам пройти аудит PCI DSS.

Читать полностью »

Часть компаний, деятельность которых связана с обработкой данных платежных карт клиентов, прибегают к услуге PCI DSS хостинга. Это связано с тем, что удовлетворение требований стандарта к инфраструктуре является трудоемким процессом. Например, услугами PCI DSS хостинга пользуется банк для интернет-предпринимателей «РФИ Банк», системами которого управляет «ИТ-ГРАД». Банк арендует защищенную виртуальную инфраструктуру в соответствии с требованиями стандарта PCI DSS по модели IaaS.

Поскольку все больше компаний обращают внимание на PCI DSS Compliant Hosting, мы хотим поговорить о деталях предоставления этого типа услуги.

Облачный хостинг PCI DSS: Детали предоставления услуги - 1Читать полностью »

Время смелых. Как мигрировать в облака, не нарушая требований регуляторов? - 1

Сегмент финансовых услуг — один из самых технологичных. В то же время в России он один из самых зарегулированных. Банкиры вынуждены принимать в расчет «гору» требований, поэтому очень внимательно относятся ко всем новым инициативам госорганов, которые могут отразиться на их бизнесе.

Несмотря на то, что в мире банковский сектор стал одним из первых использовать облачные технологии, в РФ к ним, из-за принятия ряда новых законов (Закона «О персональных данных» и сопутствующих документов), финансовые учреждения относятся осторожно. И если рынка частных облаков законодательные акты не коснулись, то публичных компании опасаются. Ведь использование «внешних» сервисов всегда требовало повышенного внимания к вопросам информационной безопасности, все-таки банковская отрасль. Кроме того, за последние годы существенно увеличилось количество киберугроз и хакерских атак, и теперь на участников финансового рынка накладываются ужесточенные требования законодательства РФ в области защиты информации и акты регулирующих органов.

Итак, ниже разберем отношение регуляторов к использованию банками облаков под управлением сторонних провайдеров. А также нормативные требования по защите информации, которые эти провайдеры должны соблюдать.

Читать полностью »

В этой статье мы расскажем какие инфраструктурные решения реализуют наши клиенты с применением серверных платформ Dell R730xd и почему цена на аренду этой платформы в европейском дата-центре TierIII+ уровня с отличными каналами связи в Украину и Россию, а также в 9 локациях в США, уже с размещением и коннективностью по цене от $249 / месяц за 2 х Intel Dodeca-Core Xeon E5-2650 v4 128GB DDR4 6x480 SSD 1Gbps стала реальностью. Поделимся возможными вариантами решений на основе этих платформ с применением частных vlan, 10G локальной сети и аппаратных Firewall от СISCO, которые доступны нашим клиентам по запросу. А также, в лучших традициях, предложим бонус в виде бесплатного периода пользования серверами Dell R730xd для читателей Habrahabr.

image

В последнее время мы получаем всë больше и больше запросов на построение различных корпоративных инфраструктур, и связано это, к сожалению, не столько с тем, что мы предоставляем решения очень высокого качества, сколько с ценой на эти решения и тем уровнем безопасности и верховенства права, который обеспечивается в Нидерландах и США, но увы, зачастую недоступен в Украине и России. Где, к сожалению, подобные решения стоят просто «космических» денег, так как понятие «длинные деньги» чуждо для постсоветских стран в принципе, на фоне других рисков или во все отсутствия необходимой инфраструктуры и уровня сертификации.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js