Рубрика «pci dss» - 2

В этой статье мы расскажем какие инфраструктурные решения реализуют наши клиенты с применением серверных платформ Dell R730xd и почему цена на аренду этой платформы в европейском дата-центре TierIII+ уровня с отличными каналами связи в Украину и Россию, а также в 9 локациях в США, уже с размещением и коннективностью по цене от $249 / месяц за 2 х Intel Dodeca-Core Xeon E5-2650 v4 128GB DDR4 6x480 SSD 1Gbps стала реальностью. Поделимся возможными вариантами решений на основе этих платформ с применением частных vlan, 10G локальной сети и аппаратных Firewall от СISCO, которые доступны нашим клиентам по запросу. А также, в лучших традициях, предложим бонус в виде бесплатного периода пользования серверами Dell R730xd для читателей Habrahabr.

image

В последнее время мы получаем всë больше и больше запросов на построение различных корпоративных инфраструктур, и связано это, к сожалению, не столько с тем, что мы предоставляем решения очень высокого качества, сколько с ценой на эти решения и тем уровнем безопасности и верховенства права, который обеспечивается в Нидерландах и США, но увы, зачастую недоступен в Украине и России. Где, к сожалению, подобные решения стоят просто «космических» денег, так как понятие «длинные деньги» чуждо для постсоветских стран в принципе, на фоне других рисков или во все отсутствия необходимой инфраструктуры и уровня сертификации.Читать полностью »

А нужен ли PCI DSS?

Рано или поздно большинство владельцев и разработчиков интернет-магазинов и мобильных приложений, принимающих платежи в онлайне, задаются вопросом: «должен ли мой проект соответствовать требованиям стандартов PCI DSS?».

PCI DSS — это стандарт безопасности, который применяется для всех организаций сферы обработки платежных карт: торговых точек, процессинговых центров, финансовых учреждений и поставщиков услуг, а также других организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.

Стандарт PA-DSS распространяется на поставщиков приложений и иных разработчиков приложений, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.

image

С веб-сайтом все довольно просто: при интеграции достаточно воспользоваться техническим решением, которое перенаправляет плательщика на форму ввода данных карты, расположенной на сайте PCI DSS сертифицированного платежного шлюза или загружает эту страницу во фрейме также с сертифицированного сайта. В этом случае торговец не подпадает под действия стандарта безопасности, так данные карты не хранятся и не передаются через его сервера, а к фрейму платежного шлюза сайт торговца не имеет доступа в силу политик безопасности web-браузеров.

С мобильным приложением все немного сложнее. Читать полностью »

PCI DSS: Тенденции и преимущества - 1

/ фото Håkan Dahlström CC

Недавно мы провели опрос среди пятидесяти значимых игроков на рынке электронных платежей в России и Казахстане. Крупнейшие платежные системы рассказали нам о том, какую выгоду несет сертификация по стандарту PCI DSS.

Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт (Payment Card Industry Security Standards Council). Он определяет требования к организациям, имеющим отношение к безопасности данных платежных карт.Читать полностью »

imageВ конце 2015 года система электронных платежей PayOnline уже в восьмой раз доказала, что мерчанты и плательщики находятся под надежной защитой. А в мае 2016 года компания получила физический сертификат соответствия требованиям стандарта PCI DSS версии 3.1, подтверждающий высший мировой уровень безопасности.

На фоне этого события мы бы хотели подробнее рассказать, что такое PCI DSS, по каким критериям осуществляется проверка на соответствие стандарту и как, не имея собственного сертификата, интернет-магазин может обеспечить безопасность финансовых данных пользователей.
Читать полностью »

Сертификация PCI DSS: Что это и с чем её едят - 1

Последнее время Visa и MasterCard начали требовать от торговых предприятий и поставщиков услуг, работающих с карточными данными, соответствия стандарту PCI DSS. В этой связи вопрос требований этого стандарта становится важным не только для крупных игроков на рынке, но и для небольших торгово-сервисных предприятий.Читать полностью »

Payler: обновление сертификации PCI DSS до версии 3.0 — DONE - 1

Дорогие друзья,

Мы в Payler уделяем особое внимание защите данных держателей карт. Еще до нового года мы обозначили свои планы относительно обновления сертификации безопасности PCI DSS до версии 3.0, так как понимали, что в скором будущем текущая версия 2.0 устареет и перестанет отвечать постоянно растущим требованиям к уровню безопасности.

Мы прошли аудит PCI DSS версии 3.0 и спешим рассказать вам, как это было. Но сначала отметим ключевые изменения в процессе обеспечения безопасности, отличающие версию 3.0:
Читать полностью »

Не совсем известные решения по защите ИТ-инфраструктуры бизнеса - 1

Классический подход российского бизнеса сегодня — это установка файрволла, затем после первых попыток направленных атак — системы защиты от вторжений. И дальше спать спокойно. На практике это даёт хороший уровень защиты только против скрипткидди, при любой более-менее серьёзной угрозе (например, от конкурентов или атаке от недоброжелателей, либо направленной атаке от иностранной группы промшипонажа) нужно что-то дополнительное, помимо классических средств.

Я уже писал про профиль типовой направленной атаки на российское гражданское предприятие. Теперь расскажу о том, как меняется стратегия защиты в целом в нашей стране в последние годы, в частности, в связи со смещением векторов атак на 0-day и связанные с этим внедрения статических анализаторов кода прямо в IDE.

Плюс пара примеров на сладкое — вы узнаете, что может твориться в полностью изолированной от Интернета сети и на периметре банка. Читать полностью »

Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS

Руководство по виртуализации PCI DSS. Часть 1

3 Риски виртуализированных сред

Хотя виртуализация и дает определенное количество функциональных и оперативных преимуществ, переход к виртуальной среде не снижает риски, существующие в физических системах, а также может привнести и новые уникальные риски. Следовательно, существует ряд факторов, которые следует учитывать при создании виртуальных технологий, включая, но не ограничиваясь, теми, которые определены ниже.
Читать полностью »

Меттью О'Коннор, менеджер проекта Google Cloud Platform, объявил сегодня, что собственная облачная платформа поискового гиганта совместима со стандартом Payment Card Industry Data Security Standard (PCI DSS). Этот стандарт представляет из себя список из 12 требований, регламентирующих вопросы безопасности того, как данные о держателях платёжных карт передаются и обрабатываются в Интернете.
Читать полностью »

Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS

1 Введение

Виртуализация отделяет приложения, компьютеры, машины, сети, данные и сервисы от их физических ограничений. Виртуализация — это развивающееся понятие, охватывающее широкий круг технологий, инструментов и методов, которое может привести к значительным эксплуатационным преимуществам для организаций, которые решают использовать виртуализацию. Как и в любой развивающейся технологии, тем не менее, также по-прежнему продолжают развиваться и риски, которые зачастую менее понятны, чем риски, связанные с более традиционными технологиями.
Цель данного документа — предоставить руководство по вопросам использования виртуализации в соответствии со Стандартами Безопасности Данных в сфере платежных карт (PCI DSS). Для целей этого документа все ссылки приводятся на стандарт PCI DSS версии 2.0.
Существует четыре простых принципа, связанных с использованием виртуализации в средах с данными владельцев банковских карт:

  • a. Если технологии виртуализации используются в среде хранения данных о держателях карт, требования PCI DSS распространяются на эти технологии виртуализации.
  • b. Технология виртуализации представляет новые риски, которые не могут быть применены к другим технологиям, и которые необходимо оценивать при использовании виртуализации при работе с данными владельцев банковских карт.
  • c. Реализация виртуальных технологий может значительно отличаться, и организациям нужно выполнить тщательное исследование для выявления и документирования уникальных характеристик их особого применения виртуализации, включая все взаимодействия с процессами перевода платежей и с данными платежных карт.
  • d. Не существует единого метода или решения для настройки виртуализированных сред для удовлетворения требований стандарта PCI DSS. Конкретные средства управления и процедуры будут отличаться для каждой среды, в зависимости от того как выполнена и используется виртуализация.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js