Ce este dss și modul în care există pci o verificare privind conformitatea cu standardul

Pe fondul acestui eveniment, ne-ar dori să elaboreze ceea ce PCI DSS, ce criterii sunt verificate pentru conformitate cu standardul și modul în care, fără a fi nevoie de propriul magazin online certificat poate asigura securitatea financiară a datelor de utilizator.

Ce este dss și modul în care există pci o verificare privind conformitatea cu standardul

Dacă încercați să înscrie abrevierea PCI DSS în Google sau căutați-l pe Habre, veți găsi o mulțime de articole care descriu standardul. Apoi, se dovedește că publicul țintă al acestor materiale vor fi cei care în nici un fel asociat cu e-commerce. Aceasta este, în principal agregatorii de plată și centre de prelucrare, și numai atunci, dezvoltatorii de magazine on-line.

Orice fel de cale de e-commerce sau un alt bazat pe faptul că cumpărătorii sunt dispuși să cumpere mărfurile vor trebui să plătească pentru asta. În ciuda faptului că posibilitatea de a plăti un mod arhaic (pentru a da bani la curier la reuniunea), cel mai popular în România, există o mare probabilitate ca cumpărătorul va prefera să utilizeze cardul lor de plată. Apoi stocați dezvoltatorii trebuie să se confrunte cu o astfel de chestiune delicată ca datele personale ale utilizatorilor, care sunt în continuare și în legătură cu finanțele lor. Este puțin probabil ca cineva de la clienții magazin vor dori să facă totul a devenit publica, deci nu trebuie să recurgă la soluții deliberate și dovedite în mod repetat.

Crearea unui magazin web de la zero - să-l puneți blând, o sarcină dificilă. Prin urmare, piața destul de o mulțime de cadre pentru a ajuta dezvoltatorii cu acest lucru (toate pe Magento auzului, de exemplu). Sarcina plăților care acceptă, ca fiind unul dintre cele mai importante, deoarece este legat de bani includ toate soluțiile de e-commerce. Dezvoltatorii au avut de a face cu ea, știu că este o destul de simplă secvență de pași, care de multe ori arata ca un „leagăn cod bibliotecă pentru gateway-ul de plată XYZ“, „acordeze“ (totul, de obicei, se reduce la prepararea și utilizarea unei chei speciale care permite gateway-ul să înțeleagă cu ce magazin el trebuie să facă), „un pic dopilivat“ și „descărcare de pe producție.“

De regulă, aceasta nu cauzează probleme semnificative. Cu toate acestea, după ce un utilizator a magazinului mutat la pagina selectată de plată gateway de plată, introdus informațiile de card de plată și a făcut clic pe butonul „Pay“, pentru a interveni în procesul nu va reuși - cu excepția cazului se ocupe de răspuns Gateway la partea lui și arată utilizatorului o pagină frumoasă cu recunoștință (dacă totul merge bine) sau scuze (dacă ceva nu a mers bine).

Poate că cei de la această poartă și capabil să se adapteze https, și chiar a cumpărat un certificat scris cu litere mari, pe site-ul său că totul este foarte bun și totul este foarte protejat. Dar modul în care numai într-adevăr de încredere pentru a verifica acest lucru este de a efectua unele proceduri pentru certificarea siguranței codului gateway de plată internă. Și, desigur, este de dorit să treacă un astfel de test ar fi la fel de ușor ca scris pe site-ul său un HTML frumos câteva -. «Garanție de 100% de siguranță“

Ce este PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) - Standardul de securitate a datelor Payment Card Industry. Cu alte cuvinte, acesta înregistrează o listă de criterii care trebuie să fie satisfăcute de serviciu, dacă el reușește cumva lucruri cum ar fi numărul de card, data expirării valabilității sale și CVV-cod.

carduri de plată poate conta foarte mult (toate știu de Visa și MasterCard), precum și este vorba de standardul industriei, ar fi de prisos pentru toate companiile sunt de acord între ei că vor fi considerate sigure. Pentru a face acest lucru, este Consiliul PCI SSC (Payment Card Industry Security Standards Council) - standardele de siguranță ale Consiliului de plată Card Industry, formata din cinci sisteme de plăți majore. El este cel care creează regulile „jocului în condiții de siguranță“, și că trebuie să urmeze regulile companiei, căutând eticheta râvnit „certificat PCI-DSS». Ai nevoie să fie certificate în fiecare an.

Ce este verificat?

De fapt, pentru a descrie toate criteriile de testare va fi dificil - lor 288. Procedura în sine este destul de lungă, pentru că testul implică o serie de probleme tehnice complexe. Complet lista de criterii, împărțite în 12 grupe, după cum urmează:

  • Protejarea rețelei de calculatoare.
  • componente ale infrastructurii datele de configurare.
  • Protejați datele posesorilor de carduri stocate.
  • Protejarea datelor transmise posesorilor de carduri.
  • protecție anti-virus a infrastructurii informaționale.
  • Dezvoltarea și susținerea sistemelor informatice.
  • Controlul accesului la datele posesorilor de carduri.
  • mecanisme de autentificare.
  • Protecția fizică a infrastructurii informaționale.
  • Logging evenimente și acțiuni.
  • Controlul de securitate al infrastructurii informaționale.
  • de management al securității informațiilor.

Se vede clar că vorbim despre partea de software, și „componenta fizică“ - cu alte cuvinte, totul este verificat. În acest caz, cuvântul „inspecție“ înseamnă prezența literală a celui care efectuează această verificare la sediul societății care este verificată. Auditorul autorizat, are statut de QSA (Evaluator de securitate calificată - și acest statut confirmat de PCI SSC de către Consiliu) are dreptul de a comunica cu angajatul gateway de plată (există o procedură specială de interviu), pentru a studia configurația componentelor sistemului, face capturi de ecran și doar vedea „cum funcționează“ . PayOnline companie auditor Deiteriy acționează în ultimii ani. Concluzia ei este recunoscută de către sistemele internaționale de plăți Visa, MasterCard, WORLD, American Express, Discover si JCB.

Bibliotecile cod de program verificat în mod selectiv, cea mai mare atenție este acordată kernel-ul procesează datele direct de carduri de plată, cu o atenție atrasă relevante în afara standardului de siguranță OWASP, care descrie cerințele de bază pentru căutarea și eliminarea vulnerabilităților în cod. De asemenea, în procesul de dezvoltare de afaceri există o legătură cod, opinie care, de fapt, merge mai departe de control de către un alt dezvoltator, care nu sunt implicate în codul scris.

Toate relațiile și responsabilitățile în cadrul cerințelor PCI DSS între furnizorii de servicii, și anume centrul de procesare și centrul de date, precum și băncile care achiziționează sunt înregistrate în așa-numitele matricilor responsabilitate. O matrice de răspundere semnate între furnizorii de servicii a devenit o cerință obligatorie în versiunea 3.1 standardul PCI DSS. Printre altele, desigur, de la centrul de date să fie bine actualizate certificatul de conformitate PCI DSS a componentelor de infrastructură, care sunt utilizate în centrul de prelucrare - servicii de virtualizare, echipamente fizice, și așa mai departe.

ei înșiși Serverele, precum și toate celelalte componente de infrastructură, cum ar fi echipamentele de rețea sunt, de asemenea, obiectul unei inspecții obligatorii. Cerința principală aici este relevanța PCI-DSS Status, care este pus în dependență directă de frecvența modificărilor software-ului, configurații și / sau mașini virtuale, și, la fel de important, de la care a devenit vulnerabilități cunoscute, cum ar fi heartbleed infam. Administratorii de infrastructură sunt obligați să efectueze un audit al sistemului de scanare intern / extern vulnerabilitate și produc componente ale infrastructurii, în conformitate cu PCI DSS.

audit de securitate se efectuează de două ori. Prima dată când utilizați scanerul automat pe vulnerabilități cunoscute, care oferă organizație certificată ASV (aprobată furnizor de scanare). După finalizarea cu succes a acestui test, sistemul este verificat pentru siguranta de către experți pentru a doua oară, așa cum se spune, cu mâna, pentru impunerea unui aviz formal.

posibilele dificultăți

Aici aș dori să dau un exemplu din experiența personală. În timpul ultimei certificarea PCI-DSS, experții noștri au organizat un serviciu special de monitorizare, care a avut grijă ca tranzacțiile între centrul nostru de date și băncile efectuate în mod continuu. O sursă de potențiale probleme a fost că unele dintre băncile au raportat că certificatul lor TLS 1.0 a fost actualizat la versiunea 1.2 post-factum. Potențial ar putea întâmpla, așa că încercăm să comunice cu banca, cu certificatul vechi, în timp ce de partea lor este deja actualizat. Datorită faptului că acum avem un singur tranzacții continue de servicii de monitorizare, această problemă nu mai este posibil.

În general, puteți da câteva exemple de control și modul în care ne conduc infrastructura pentru a îndeplini cerințele. După cum se știe, în conformitate cu PCI-DSS, sistemul de plăți nu trebuie să fie depozitate la așa-numitele date de autentificare sensibile (KAD), care includ, de exemplu, CVV sau PIN-cod (acesta din urmă vine de obicei de la supermarket POS-terminale). Acesta este pus în aplicare după cum urmează:

În cazul în care tranzacția primește de la statutul special al centrului de procesare, spunând că acesta este finalizat (fie cu succes sau nu), sistemul este inițiat printr-un cod special care rezolvă două probleme. Dacă în timpul tranzacției, din orice motiv, datele sale au fost scrise pe disc, operațiunea specială care înlătură această intrare primește cea mai mare prioritate și pentru a efectua un lucrător special. În cazul în care nu au fost accesul la disc, atunci totul este mai simplu: procesul de tranzacție este eliminat din memoria serverului și, astfel, de stabilire CR nu se produce. Singurele date care pot fi stocate - este numărul de PAN carduri (număr de cont primar), și apoi numai în formă criptată.

În cazul datelor de utilizator fiind sistemul de plată compromis este obligat să-l și banca emitentă care a emis „supraexpusă“ carte de notificare. În plus, a fost necesar pentru a elimina o scrisoare cu atașamente-imagini de la programe client de e-mail a sprijini operatorul, precum și pe serverul de e-mail. Toate acestea au fost făcute pentru a urmări regula de aur de securitate a industriei cardurilor de plată - „Dacă nu aveți nevoie de aceste informații, nu-l va păstra“

Integrarea PayOnline cu e-shop

După cum sa menționat mai sus, sarcina specifică de a integra un magazin on-line cu sistem de plată este greu de dificil. Pe internet puteți găsi multe exemple pentru mai multe gateway-uri. Totul este de obicei limitat la instalarea serverului bibliotecă scris special (avem o mulțime de diferite platforme și sub) și scris un cod client-side, care va aduna informațiile și să trimită un formular personalizat de gateway-ul de plată. Singurul punct pe care aș dori să atrag atenția, ar trebui să fie locul de cele mai multe forme de plata - va fi pe partea laterală a magazinului online sau pentru a lucra pe PayOnline lateral. În ciuda faptului că multe dintre soluțiile de bine ar putea permite să efectueze plăți direct pe site, în cazul absenței comerciantului de certificare proprii PCI-DSS, va fi necesar să se organizeze tot, astfel încât plățile sunt efectuate pe partea laterală a gateway-ului de plată. Argumentare există una - este siguranța datelor financiare ale utilizatorilor. În același timp, puteți personaliza forma plății de către companie, astfel încât respingerea utilizatorului final nu va apărea.

Avem o bibliotecă pentru organizarea de plăți pentru desktop și soluții mobile, inclusiv Windows Phone (deși poziția platformei în termeni de popularitate în rândul utilizatorilor este mult mai slab decât cel al aceluiași Android sau iOS). Vorbeste despre biblioteca pentru PHP noi nici măcar nu o să - este aproape o chestiune de curs. Avem, de asemenea, un SDK pentru NET-a face. Oamenii întreabă adesea de ce pentru Android nu este o abordare tradițională aleasă - o bibliotecă pe Java - și utilizat Node.js. Decizia a fost luată ceva timp în urmă - pentru a integra acest cod un pic mai ușor decât scris în Java, precum și să îndeplinească cerințele PCI care nu corespund standardelor PA-DSS. În ceea ce privește integrarea în viitor, acum avem forme de plată adaptive, care funcționează perfect în aplicațiile mobile native, care sunt integrate în aplicarea prin WebView, și să îndeplinească toate cerințele PCI PA-DSS.

Ce devine magazin online

Printre principalele avantaje ale sistemului electronic de plăți PayOnline, putem identifica în special capacitățile noastre tehnice care vizează creșterea conversiei în plăți de succes. În primul rând, desigur, acest lucru bine cu 3-D Secure, care permite menținerea unui nivel ridicat de protecție împotriva tranzacțiilor frauduloase și, în același timp, pentru a mări conversia în plată.

Noi studiem cu atenție comportamentul de contribuabili, care de la an la an, ca urmare schimbări progreselor tehnologice. Cu capacitatea de a măsura conversiile și comportamentul uman pe pagina de plată în momentul încheierii datelor și de a face o plată, vom lăsa tehnologia clienților săi pas cu pas pentru a urma calea cumpărătorului, imaginați-vă în locul său și pentru a simplifica experiența de utilizare pe baza statisticilor obținute. În acest caz, în cazul în care efectuează plata de la cumpărător, indiferent de motiv, care nu efectuează plata, magazinul primește de la centrul de procesare, cauza exactă a abaterii, apoi stoca emisiuni motiv de respingere mai devreme, în orice formă personalizată. Astfel, clientul va înțelege imediat de ce nu a reușit plata și că el trebuia să facă pentru a cumpăra un produs sau serviciu.

Dacă sunteți interesat de această oportunitate, vă rugăm să ne contactați. experții noștri vor oferi informații suplimentare și, dacă este necesar, pentru a ajuta la configurat pentru a accepta plăți online și în aplicații mobile printr-un gateway securizat care îndeplinește cerințele standardului PCI DSS 3.1.