Payler: оновлення сертифікації PCI DSS до версії 3.0 - DONE



Дорогі друзі,

Ми в Payler приділяємо особливу увагу захисту даних власників карток. Ще до нового року ми позначили свої плани щодо оновлення сертифікації безпеки PCI DSS до версії 3.0, так як розуміли, що в недалекому майбутньому поточна версія 2.0 застаріє і перестане відповідати постійно зростаючим вимогам до рівня безпеки.

Ми пройшли аудит PCI DSS версії 3.0 і поспішаємо розповісти вам, як це було. Але спочатку відзначимо ключові зміни у процесі забезпечення безпеки, що відрізняють версію 3.0:

  • У версії 3.0 заборонено зберігання критичних аутентифікаційних даних після авторизації в будь-якому, навіть зашифрованому вигляді;
  • Додана необхідність ідентифікації і обліку всіх системних компонентів, на які поширюється дія стандарту PCI DSS;
  • Розширено перелік загальнодоступних мереж;
  • Додано вимогу проводити періодичні перевірки всіх операційних систем, а не тільки «піддані атакам», як було раніше;
  • Додана нова уразливість коду вимога щодо протидії злому механізму аутентифікації;
  • Запроваджено новий термін «механізм виявлення змін», покликаний фіксувати всі несанкціоновані зміни критичних системних файлів;
  • З 30 червня 2015 року стане необхідно впроваджувати методологію тестування на проникнення, а саме тестування, крім іншого, повинно тепер оцінювати ефективність сегментації.
Крім того, версія 3.0 ознаменовує собою перехід від паролів до ідентифікаційним фразам — більш складним і надійним.

Як це було

Як і минулого разу, аудит проводила данська компанія Fortconsult. По суті, весь процес ділиться на дві нерівні частини: багатоступеневу підготовку і, власне, сертифікаційний аудит. Друга частина — сертифікація — зайняла три робочих дня, протягом яких аудитор працював разом з нашим технічним директором у нас в офісі.

Ще до зустрічі з аудитором, ми виконали значну підготовчу роботу — пройшли всі процедури щодо виявлення вразливостей інформаційної системи, провели тест на проникнення, зібрали і структурували всю необхідну документацію і т. д. До речі, в цей аудит дійсно відчулося деяке посилення вимог до зберігання даних про власників карток і до розподілу повноважень і прав доступу до цих даних, яке можна висловити двома рядками:

Якщо можете не зберігати ДДК — не зберігайте,
Якщо можете не розшарювати доступ — не расшаривайте.

Тепер справа за малим — дочекатися сертифіката.

Незважаючи на досить великий обсяг виконаної роботи, ми задоволені результатами, та самим процесом проходження аудиту. І ще: зовсім не до речі, але тим не менш. Напередодні 1 квітня — коли істерія на тему майбутнього Visa в Росії досягла апогею — ми виявили, що всі наші банки-еквайєри підключені до НСПК. А це значить, що неполадки і перебої — якими б вони не були — не торкнуться наших мерчантов.

Слідкуйте за оновленнями!

З любов'ю,
Payler


Приєднуйтесь до нас на Facebook

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.