Какво е с PCI DSS и как там е проверка за съответствие със стандарта
На фона на това събитие, ние бихме искали да се разработят какво PCI DSS, какви критерии се проверяват за съответствие със стандарта и как, без да се налага свой собствен сертификат онлайн магазин може да осигури финансова сигурност на потребителски данни.
Ако се опитате да излезе с PCI DSS съкращението в Google или го потърсете в Хабре, ще намерите много статии, които описват стандарта. След това се оказва, че целевата аудитория на тези материали ще бъдат тези, които по някакъв начин свързани с електронната търговия. Това е главно за плащане агрегатори и центрове за обработка и едва тогава, разработчици на онлайн магазини.
Всякакъв вид електронна търговия или друг начин въз основа на факта, че купувачите са готови да купуват стоки ще трябва да плати за него. Въпреки факта, че възможността да се плати един архаичен начин (да се дават пари на куриера по време на срещата), най-популярните в България, е налице висока степен на вероятност, че купувачът ще предпочете да използва своето плащане с карта. След това се съхранява разработчиците трябва да се справят с такъв деликатен въпрос, тъй като личните данни на потребителите, които все още са и свързани с техните финанси. Малко вероятно е, че някой от клиентите на магазините ще искате да направите всичко това стана обществено достояние, така че трябва да се прибегне до умишлени и многократно доказани решения.
Създаване на уеб магазина, от нулата - меко казано, е трудна задача. Поради това, на пазара доста рамки за да помогне на разработчиците с това (всичко това Magento слуха, например). Задачата на приемащи плащания, като един от най-важните, защото това е свързано с пари включват всички решения за електронна търговия. Разработчиците трябваше да се справят с него, знам, че това е доста просто поредица от стъпки, които често изглежда като "люлка библиотека код за плащане шлюза на XYZ", "мелодия" (всички обикновено се свежда до изготвяне и използване на специален ключ, който позволява на входа да се разбере с какво магазин трябва да прави), "малко dopilivat" и "разтоварване на производство."
Като правило, за да не причинява значителни проблеми. Въпреки това, след като потребителят е в магазина се премества в избрания плащане страницата портал на плащане, въведете информацията за плащане с карта и кликне върху бутона "Плащане", да се намесва в процеса няма да успее - освен ако не се справя Gateway отговор на негова страна и да се покаже на потребителя хубава страница с благодарност (ако всичко върви добре), или се извини (ако нещо се обърка).
Може би момчетата от тази врата и да може да се коригират по HTTPS, и дори купили сертификат написан с големи букви на своя уебсайт, че всичко е много добра и всичко е много защитени. Но единственият наистина надеждният начин да се провери това е да извършва някои процедури за сертифициране на безопасността на вътрешния портал на плащане код. И, разбира се, е желателно да премине този тест ще бъде толкова лесно, колкото написването на неговата интернет страница на няколко красиви HTML -. «100% гаранция за безопасност"
Какво е PCI DSS?
PCI DSS (платежни карти Стандарта за сигурност) - Стандарта за сигурност индустрията на разплащателните карти. С други думи, той записва списък с критерии, които трябва да бъдат изпълнени услуги, ако той по някакъв начин успява такива неща като номер на карта, дата на валидност срока на валидност и CVV-кода.
Карти за плащане могат да разчитат много (всички знаем, на Visa и MasterCard), както и че е за индустриален стандарт, би било излишно за всички дружества са съгласни помежду си, че те ще се считат за безопасни. За да направите това, има Съвет PCI SSC (плащане с карта Съвета индустрия за стандартите за сигурност) на - стандартите за безопасност на Съвета на индустрията на разплащателните карти, състоящ се от пет основни системи за разплащане. Той беше този, който създава правилата на "безопасна игра", както и че те трябва да отговарят на правилата на компанията, като се стреми пожелах етикета "сертифицирани PCI-DSS». Трябва да бъдат сертифицирани всяка година.
Какво се проверява?
В действителност, за да опише всички критерии за оценяване ще бъде трудно - тяхната 288. Самата процедура е доста дълго, защото тестът включва редица сложни технически проблеми. Напълно списък от критерии, разделени в 12 групи, както следва:
- Защита на компютърната мрежа.
- Конфигурация компоненти за информационна инфраструктура.
- Защитете съхраняваните данни на картодържател.
- Защита на предаваните данни на картодържател.
- Антивирусна защита на информационната инфраструктура.
- Развитие и поддръжка на информационни системи.
- Контрол на достъпа до кражба на данни.
- механизми за удостоверяване.
- Физическа защита на информационната инфраструктура.
- Влизане събития и действия.
- Контрол на сигурността на информационната инфраструктура.
- управление на сигурността на информацията.
Там ясно се вижда, че става дума за страна на софтуера, както и "физически компонент" - с други думи, всичко е проверено. В този случай, думата "проверка" означава буквално присъствието на този, който извършва тази проверка в офиса на компанията, която се проверява. Уставният одитор, има статут на QSA (Квалифицирано Оценителят сигурност - и този статут потвърдена от PCI SSC от Съвета) има право да общуват с работника или служителя за плащане шлюз (има специална процедура интервю), да се учат на конфигурацията на компонентите на системата, да направи снимки на екрани и просто вижте "как работи" , PayOnline одиторската фирма Deiteriy действа през последните години. Заключението й е призната от международните платежни системи Visa, MasterCard, World, American Express, Discover и JCB.
Библиотеките на програмен код проверяват селективно, най-голямо внимание се обръща на ядрото пряко обработва данните на разплащателни карти, с внимание, изготвен по съответните извън OWASP стандарт за безопасност, която описва основните изисквания за търсене и премахване на уязвимости в кода. Също така в процеса на развитие на бизнеса, че има връзка Проверка на код, който, всъщност, отива по-далеч проверка от друг разработчик, който не участва в кода за писане.
Всички взаимоотношения и отговорности в изискванията за PCI DSS между доставчици на услуги, а именно центъра за обработка и центровете за данни, както и придобиване на банки, се записват в така наречените матрици отговорност. Подписана матрици отговорност между доставчиците на услуги се превърна в задължително изискване във версия 3.1 PCI DSS стандарт. Наред с другите неща, разбира се, от центъра на данни, за да бъде добре на актуално удостоверение за PCI DSS спазване на инфраструктурни компоненти, които се използват в центъра на обработка - услуги за виртуализация, физическо оборудване, и така нататък.
Самите сървъри, както и всички други компоненти на инфраструктурата, като например мрежово оборудване, също подлежат на задължителна проверка. Основното изискване тук е значението на PCI-DSS Статус, която се поставя в пряка зависимост от честотата на софтуерни промени, конфигурации и / или виртуални машини, и по-малко важен, от която стана известни уязвимости като скандалната HeartBleed. инфраструктурни администратори са задължени да извършат одит на системата за вътрешна / външна уязвимост сканиране и производство на компоненти на инфраструктурата в съответствие с PCI DSS.
одит за сигурност се извършва два пъти. Първият път, когато се използва за автоматично сканиране при известни уязвимости, което осигурява сертифицирана организация ASV (Одобрен Сканиране на продавача). След успешното завършване на този тест, системата се проверява за безопасност от експерти за втори път, както се казва, на ръка, до налагането на официално становище.
възможните затруднения
Тук бих искал да дам един пример от личен опит. През последната сертифициране PCI-DSS, нашите специалисти са организирали специален мониторинг услуга, която да го видя, че сделките между центровете за данни в и банки извършват непрекъснато. А източник на потенциални проблеми е, че някои от банките съобщи, че тяхното свидетелство на TLS 1.0 беше обновен до версия 1.2 пост фактум. Потенциално може да се случи, така че ние се опитваме да общуват с банката, със стария сертификат, а от своя страна вече е актуализирана. Поради факта, че сега ние имаме единични сделки непрекъснат мониторинг на услуги, този проблем вече не е възможно.
Като цяло, можете да дадете няколко примера как проверката и как можем да доведе нашата инфраструктура, за да отговори на изискванията. Както е известно, в съответствие с PCI-DSS, платежната система не трябва да се съхранява при така наречените чувствителни данни за удостоверяване (KAD), които включват, например, CVV или ПИН-кодът (последното обикновено идва от супермаркет POS-терминали). Той се осъществява по следния начин:
Когато сделката получава от специалния статут на центъра за обработка, като каза, че тя е завършена (независимо дали успешно или не), системата е по инициатива на специален код, който решава два проблема. Ако по време на операцията по някаква причина, данните за него е написано на диск, специалната операция, която премахва този пост получава най-висок приоритет и да извършват специален работник. Ако има достъп до диск не са, тогава всичко е още по-просто: Процесът на сделката се премахне от паметта на сървъра и по този начин за определяне на CR не се случи. Единствената информация, която може да се съхранява - е броят на PAN (Основно номер на сметката) карти, и то само в шифрован вид.
В случай на потребителски данни е компрометирана система за плащане е длъжна да му и банката-издател, който е издал "преекспонира" карта уведоми. Освен това, е необходимо да се премахне писмо с прикачени файлове-изображения от клиентските програми за електронна поща подкрепа на оператора, както и на сървъра за електронна поща. Всичко това е направено с цел да се следват златното правило на сигурността на разплащателни карти промишленост - ". Ако нямате нужда от тази информация, няма да го пазят"
PayOnline интеграция с е-магазин
Както бе споменато по-горе, специфичната задача да интегрира онлайн магазин с платежната система едва ли е трудно. В интернет можете да намерите много примери за много шлюзове. Всичко е обикновено се ограничава до инсталирането на сървър, специално написан библиотеката (ние имаме много различни платформи и под) и писане на клиентската страна, код, който ще събере информация и да изпратите по поръчка на начина на плащане своята врата. Единствената точка, на която бих искал да обърна внимание, трябва да бъде на мястото на повечето форми на плащане - той ще бъде на страната на онлайн магазина или да работят по страничната PayOnline. Въпреки факта, че много от решенията би могло да си позволи да направи плащания директно на сайта, в случай на отсъствие на търговеца собствен сертификат PCI-DSS, ще бъде необходимо да се организира всичко, така че плащанията се извършват от страната на входа на плащане. Обосновка има един - е сигурността на финансовите данни на потребителите. В същото време, можете да персонализирате формата на плащането от страна на компанията, така че отхвърлянето на крайния потребител няма да възникнат.
Ние имаме една библиотека за организиране на плащания за настолни и мобилни решения, включително Windows Phone (макар че позицията на платформата от гледна точка на популярност сред потребителите е много по-слаба от тази на една и съща Android или ЗИ). Говорете за библиотеката за PHP ние дори няма да - това е почти в реда на нещата. Имаме също така и SDK за .NET решения. Хората често питат защо за Android не е традиционен подход, избран - библиотека на Java - и използвани Node.js. Решението е било взето преди известно време - да се интегрират този код малко по-лесно, отколкото написан на Java, както и отговаря на изискванията на нестандартни PCI PA-DSS. Що се отнася до бъдещата интеграция, сега ние имаме адаптивни форми на плащане, които работят перфектно в стандартни мобилни приложения, които са интегрирани в прилагането през изгледа в мрежата, както и да отговаря на всички изисквания на PCI PA-ДПС.
Какво става онлайн магазин
Сред основните предимства на електронна система за плащания PayOnline, можем да идентифицираме особено нашите технически възможности, насочени към повишаване на превръщането в успешни плащания. На първо място, разбира се, тази глоба работа с 3-D Secure, което позволява да се поддържа високо ниво на защита срещу измамни сделки и в същото време да се увеличи превръщането плащане.
Ние внимателно изучаване на поведението на участниците, които от година на година след промени технологичния напредък. С възможността за измерване на реализациите и човешкото поведение на страницата за плащане към момента на завършване на данните и да извършите плащане, ние нека технологията на своите клиенти стъпка по стъпка, за да се проследи пътя на купувача си представи, че на негово място и да се опрости своя потребителски опит на базата на статистически данни, получени. В случая, ако извършване на плащането от страна на купувача, които по някаква причина не е направил плащане, магазинът получава от преработка център, точната причина за отклонението, а след това се съхранява предавания причина за отхвърляне по-рано във всеки потребителски форма. По този начин, потребителят веднага ще разберете защо плащането не е и, че трябва да направя, за да купуват даден продукт или услуга.
Ако се интересувате от тази възможност, моля свържете се с нас. Нашите експерти ще предоставят допълнителна информация и, ако е необходимо, да ви помогне да се създаде за приемане на плащания онлайн и в мобилно приложение чрез сигурна шлюз, който отговаря на изискванията на PCI DSS 3.1 стандарт.