- PVSM.RU - https://www.pvsm.ru -
Для тех, кто еще не читал новости о том, как Burger King в своем мобильном приложении интегрировал нежелательное программное обеспечение AppSee, публикую краткую информацию:
Даже если поверить, что оба утверждения верные, то все равно Burger King своими действиями нарушает стандарт безопасности [1] отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца. Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще. Обычный MITM в публичном WiFi организовать утечку ДДК, а номер телефона — вообще легчайший способ получить дубликат sim карты в любом отделении с помощью имени владельца и базовых навыков графического редактора.
Сама компания Burger King прошла проверку стандартам [2], а значит попадает под все карательные меры, а именно:
В заключение хочу добавить, что такие стандарты как GDPR или 152-ФЗ, к которым апеллируют, действуют на определенных геополитических областях, в то время как PCI DSS — это международный стандарт платежных систем и нарушать его нельзя нигде.
Автор: Андрей Роговский
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/285960
Ссылки в тексте:
[1] стандарт безопасности: https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf
[2] прошла проверку стандартам: https://www.pcisecuritystandards.org/get_involved/participating_organizations
[3] Источник: https://habr.com/post/417165/?utm_source=habrahabr&utm_medium=rss&utm_campaign=417165
Нажмите здесь для печати.