Здравствуйте. Я работаю в компании CardSec и, в частности, мы занимаемся тем, что помогаем нашим клиентам готовиться к аудитам по информационной безопасности и проводим эти аудиты.
Рубрика «pci dss»
Гайд по информационной безопасности для финтех-стартапов: Зачем нужна ИБ, и как не ошибиться до начала работы
2022-04-10 в 16:43, admin, рубрики: pci dss, безопасность, венчурные инвестиции, гост р 57580, законы, защита информации, информационная безопасность, Развитие стартапа, требованияКак из бумажной безопасности сделать практическую, или зачем нам соблюдение 152-ФЗ и PCI DSS в одном облаке
2019-08-28 в 7:20, admin, рубрики: 152-фз, pci dss, безопасность, Блог компании DataLine, информационная безопасность, Облачные вычисления, облачные сервисыНаша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет аттестат соответствия 152-ФЗ по УЗ-2 (без актуальных угроз 1-го и 2-го типа). Эта же платформа входит еще и в область действия нашей системы управления информационной безопасностью (СУИБ), которую мы сертифицировали по ISO/IEC 27001:2013. Про это и про STAR Cloud Security Alliance (CSA) я обязательно как-нибудь тоже расскажу, но сегодня остановлюсь на плюсах синергии PCI DSS и 152-ФЗ для наших клиентов.
Читать полностью »
Что грозит Burger King
2018-07-14 в 7:21, admin, рубрики: appsee, Burger King, pci dss, информационная безопасностьДля тех, кто еще не читал новости о том, как Burger King в своем мобильном приложении интегрировал нежелательное программное обеспечение AppSee, публикую краткую информацию:
- AppSee — это, malware-сервис, который можно интегрировать в мобильное приложение и получить видеозапись экрана для какой-то там аналитики
- Как видно из перехваченного видео — данные передаются без какой-либо обработки, а уже в самом AppSee видео обрабатывается и данные держателей карт (ДДК) закрашиваются черными квадратами, как они утверждают
- Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают
Даже если поверить, что оба утверждения верные, то все равно Burger King своими действиями нарушает стандарт безопасности отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца. Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще. Обычный MITM в публичном WiFi организовать утечку ДДК, а номер телефона — вообще легчайший способ получить дубликат sim карты в любом отделении с помощью имени владельца и базовых навыков графического редактора.
Сама компания Burger King прошла проверку стандартам, а значит попадает под все карательные меры, а именно:
Читать полностью »
Как мы защищаем отзывы, покупки и путешествия от мошенников
2018-07-06 в 6:03, admin, рубрики: pci dss, антифрод, Блог компании Яндекс.Деньги, информационная безопасность, оплата без подтверждения, отзывы, поездки, яндекс.кассаАркадий — успешный стартапер. Он прочитал все книги по личной эффективности, каждый месяц открывает новые перспективные бизнесы и доволен собой, но каждый раз что-то идёт не так.
Сначала к нему в доставку элитной обуви набегают злые школьники, потом откуда-то берутся разгромные отзывы о его магазине айфонов с ТВ-антеннами, затем он открывает онлайн-казино, но люди не спешат нести туда деньги и ограничиваются бесплатным депозитом.
Я украл эту иллюстрацию у дизайнеров, когда они отвернулись.
В конце с бонусной карты в «Пятерочке» кто-то списывает 364 балла, накопленные за последний год на кефире и ягодах годжи, и Аркадий вскипает. Он идет в интернет с вопросом о том, как поступают другие ребята в таких ситуациях.
Этот пост про антифрод-машину Яндекс.Кассы. Под катом некоторые сценарии, в которых она защищает, и рассказ про новый API для мерчантов, который сильно усложнит работу мошенникам.
Какие изменения пришли в стандарт PCI DSS, на кого они повлияют и что об этом нужно знать
2018-06-06 в 18:41, admin, рубрики: IT-стандарты, pci dss, pci dss 3.2.1, Блог компании ИТ-ГРАД, Законодательство в IT, ИТ-ГРАД, платежные карты, Разработка под e-commerce, хостингСовет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал ревизию стандарта PCI DSS 3.2.1. Как отметили представители организации, этот релиз включает в себя лишь небольшие уточнения, но при этом является подготовительным этапом перед выходом новой версии стандарта, которая ожидается в 2020 году. Что и зачем было сделано, рассказываем ниже.
Как пройти сертификацию PCI DSS: опыт ИТ-ГРАД
2018-03-21 в 18:35, admin, рубрики: pci dss, Блог компании ИТ-ГРАД, ИТ-ГРАД, платежные системы, Разработка под e-commerce, сертификация, Управление e-commerce, хостинг, хостинг pci dssВ одном из прошлых постов мы отметили, что успешно ресертифицировали свою инфраструктуру по PCI DSS и рассказали о видах хостинга PCI DSS: co-location, IaaS Basic и IaaS Advanced. Сегодня мы подробнее поговорим о самом процессе сертификации и собственном опыте прохождения аудита.
Хостинг PCI DSS: что нужно знать
2018-03-14 в 12:17, admin, рубрики: pci dss, Блог компании ИТ-ГРАД, ИТ-ГРАД, платежные системы, Разработка под e-commerce, сертификация, хостинг, хостинг pci dssНедавно мы в ИТ-ГРАД успешно ресертифицировали облачную инфраструктуру на соответствие требованиям стандарта PCI DSS и получили сертификат PCI DSS Managed Service Provider, он означает, что мы можем оказывать услуги хостинга PCI DSS. Далее мы расскажем, что это такое, и познакомим вас с существующими видами сервиса: co-location, IaaS Basic, IaaS Advanced.
Хранилище логов для облачной платформы. Опыт внедрения ELK
2017-08-29 в 8:25, admin, рубрики: elk, kibana, netflow, open source, pci dss, Блог компании ТЕХНОСЕРВ, высокая производительность, информационная безопасность, мониторинг логов, облака, техносерв cloud
Всем привет! Сегодня мы продолжим рассказывать про облачное хранилище Техносерв Cloud, но уже с точки зрения эксплуатации. Ни одна ИТ-инфраструктура не обходится без инструментов мониторинга и управления, и наше облако не исключение. Для решения повседневных задач, связанных с мониторингом, мы используем продукты с открытым исходным кодом, одним из которых является стек ELK. В этой статье мы расскажем, как в нашем облаке устроен мониторинг журналов, и как ELK помог нам пройти аудит PCI DSS.
Облачный хостинг PCI DSS: Детали предоставления услуги
2017-06-20 в 11:03, admin, рубрики: pci dss, Блог компании ИТ-ГРАД, ИТ-ГРАД, платежные системы, сертификацияЧасть компаний, деятельность которых связана с обработкой данных платежных карт клиентов, прибегают к услуге PCI DSS хостинга. Это связано с тем, что удовлетворение требований стандарта к инфраструктуре является трудоемким процессом. Например, услугами PCI DSS хостинга пользуется банк для интернет-предпринимателей «РФИ Банк», системами которого управляет «ИТ-ГРАД». Банк арендует защищенную виртуальную инфраструктуру в соответствии с требованиями стандарта PCI DSS по модели IaaS.
Поскольку все больше компаний обращают внимание на PCI DSS Compliant Hosting, мы хотим поговорить о деталях предоставления этого типа услуги.
Время смелых. Как мигрировать в облака, не нарушая требований регуляторов?
2017-06-20 в 9:21, admin, рубрики: pci dss, банки, Блог компании ТЕХНОСЕРВ, законодательство, Законодательство и IT-бизнес, публичные облака, регулятор, техносерв cloud, ФСТЭК, метки: публичные облака
Сегмент финансовых услуг — один из самых технологичных. В то же время в России он один из самых зарегулированных. Банкиры вынуждены принимать в расчет «гору» требований, поэтому очень внимательно относятся ко всем новым инициативам госорганов, которые могут отразиться на их бизнесе.
Несмотря на то, что в мире банковский сектор стал одним из первых использовать облачные технологии, в РФ к ним, из-за принятия ряда новых законов (Закона «О персональных данных» и сопутствующих документов), финансовые учреждения относятся осторожно. И если рынка частных облаков законодательные акты не коснулись, то публичных компании опасаются. Ведь использование «внешних» сервисов всегда требовало повышенного внимания к вопросам информационной безопасности, все-таки банковская отрасль. Кроме того, за последние годы существенно увеличилось количество киберугроз и хакерских атак, и теперь на участников финансового рынка накладываются ужесточенные требования законодательства РФ в области защиты информации и акты регулирующих органов.
Итак, ниже разберем отношение регуляторов к использованию банками облаков под управлением сторонних провайдеров. А также нормативные требования по защите информации, которые эти провайдеры должны соблюдать.