Дорогие друзья,
Мы в Payler уделяем особое внимание защите данных держателей карт. Еще до нового года мы обозначили свои планы относительно обновления сертификации безопасности PCI DSS до версии 3.0, так как понимали, что в скором будущем текущая версия 2.0 устареет и перестанет отвечать постоянно растущим требованиям к уровню безопасности.
Мы прошли аудит PCI DSS версии 3.0 и спешим рассказать вам, как это было. Но сначала отметим ключевые изменения в процессе обеспечения безопасности, отличающие версию 3.0:
- В версии 3.0 запрещено хранение критичных аутентификационных данных после авторизации в любом, даже зашифрованном виде;
- Добавлена необходимость идентификации и учета всех системных компонентов, на которые распространяется действие стандарта PCI DSS;
- Расширен перечень общедоступных сетей;
- Добавлено требование проводить периодические проверки всех операционных систем, а не только «подверженных атакам», как было раньше;
- Добавлена новая уязвимость кода в требование по противодействию взлому механизма аутентификации;
- Введен новый термин «механизм обнаружения изменений», призванный фиксировать все несанкционированные изменения критичных системных файлов;
- С 30 июня 2015 года станет необходимо внедрять методологию тестирования на проникновение, а само тестирование, помимо прочего, должно теперь оценивать эффективность сегментации.
Кроме того, версия 3.0 ознаменовывает собой переход от паролей к идентификационным фразам – более сложным и надежным.
Как это было
Как и в прошлый раз, аудит проводила датская компания Fortconsult. По сути, весь процесс делится на две неравные части: многоэтапную подготовку и, собственно, сертификационный аудит. Вторая часть – сертификация – заняла три рабочих дня, на протяжении которых аудитор работал вместе с нашим техническим директором у нас в офисе.
Еще до встречи с аудитором, мы проделали значительную подготовительную работу — прошли все процедуры по выявлению уязвимостей информационной системы, провели тест на проникновение, собрали и структурировали необходимую документацию и т.д. К слову, в этот аудит действительно ощутилось некоторое ужесточение требований к хранению данных о держателях карт и к разделению полномочий и прав доступа к этим данным, которое можно выразить двумя строками:
Если можете не хранить ДДК – не храните,
Если можете не расшаривать доступ – не расшаривайте.
Теперь дело стало за малым — дождаться сертификата.
Несмотря на довольно большой объем проделанной работы, мы довольны и результатами, и самим процессом прохождения аудита. И еще: совсем не кстати, но тем не менее. Накануне 1 апреля — когда истерия на тему будущего Visa в России достигла апогея — мы обнаружили, что все наши банки-эквайеры подключены к НСПК. А это значит, что неполадки и перебои — какими бы они ни были — не затронут наших мерчантов.
Следите за обновлениями!
С любовью,
Payler
Присоединяйтесь к нам на Фейсбук
Автор: Polonium84