По поводу сложностей с PCI DSS — всё немного преувеличено. Если у вас не огромные обороты(уровень сертификации PCI DSS не выше Level 3 — от 20 тыс. до 1 млн. транзакций в год), то сложностей больших нет, но есть затраты — порядка 500 евро в квартал. Вам надо будет заключить договор с QSA аудитором(список QSA можно найти вот — здесь.
Раз в квартал надо будет проходить ASV сканирование сайта, на котором идёт ввод карточных данных и раз в год заполнять опросник SAQ. Первое ASV сканирование будет для вас сюрпризом, скорее всего, так как в отчёте будет много страниц, связанных с уязвимостями и способами их устранения :-) Для подтверждения статуса надо будет их оперативно ликвидировать и пройти повторное сканирование (обычно повторное тоже стоит денег).
Из плюсов — вы сможете кастомизировать форму оплату, как вашей душе угодно + не будет не нужных переходов на сайты агрегаторов/платёжных систем. Но, как справедливо заметил автор, если вы никому неизвестны, то это может снизить конверсию, а если известны — повысить. Люди опасаются вводить карточные данные на сайтах, которые им не известны. Также, благодаря регулярным сканированиям, можно быть уверенным, что ваш сайт соответствует требованиям безопасности и его не так просто сломать :-)
До боли знакомый сценарий :-) Тоже были в похожей ситуации. Но фактических, 100 процентных доказательств нет, есть только косвенные, поэтому не обратились в «органы». Только у нас последовательность была другая, сначала предложение о защите инфраструктуры и сайтов — потом атака.
Про Qrator — ценник у них конечно кусается и личный кабинет «убогий», но дело своё делают на 100%. Основное их достоинство — при срабатывании защиты нет капчи. Для клиента, который пришёл на сайт — прозрачно работает. Конверсия, соответственно, не снижается.
По нашим наблюдениям, когда работали с CloudFlare и были атаки, с включением защиты в режим under attack mode — конверсия падала от 6 до 15%. Так как клиенты не дожидались завершения JavaScript challenge и закрывали сайт. Атаки, которые приходят, после перехода на Qrator мы замечаем только благодаря внутреннему мониторингу. Они никак не отражаются на конверсии и доступности.
Из минусов:
Очень убогий интерфейс личного кабинета, который не позволяет сделать практически ничего, кроме наблюдения за графиками(тоже, мягко говоря, не очень приятного для глаза). После богатого на аналитику, возможность управления почти всеми настройками и правилами у CloudFlare, у Qrator прям грусть и печаль.
В отличии от CloudFlare, WAF не входит в пакет защиты и его надо покупать отдельно у другой, видимо аффилированной, компании Wallarm и стоит он дополнительно 10 тыс. Выглядит тоже убого, нет возможности что-то настроить или чем-то управлять. Тоже, по-сути, только просмотр графиков
Отдельная цена за трафик. В абонентскую плату включено только 3 Мбит/с, каждый мбит сверх этого стоит + 700 рублей и + ещё 200 рублей за Мбит ещё, если подключили WAF от Wallarm.
Цена. У CloudFlare вы приблизительно за 11400(200$) получаете защиту без ограничений по трафику атаки + WAF. У Qrator более-менее нормальную защиту вы получите за 46 тыс.(полоса защиты ограничена 10 Гбит/с) + вам надо будет заплатить ещё 10 тыс. в месяц за WAF + плата 700 р. за каждый мбит превышения
CDN — у CloudFlare это собственно специализация и идёт по умолчанию. У Qrator этого конечно нет, из «совместимых» CDN провайдеров заявлен только Ngenix.
P.S. У Incapsula все достоинства убиваются одной фразой — «Support Email 8X5» и это на всех тарифах, кроме Enterprise!
Если очень коротко, как делаю я: скрученные листья укладываю слоем в 4-5 сантиметров в любую эмалированную посуду, укрываю мокрой, сложенной в несколько раз марлей и ставлю в теплое место (24- 27° С) на 6-8 часов. Чем выше температура, тем процесс ферментации идет быстрее(в разумных пределах, конечно). Летом можно прямо на солнечное место куда-нибудь выставить, на пару часов. То что процесс пошёл можно определить по запаху: из травянистого запаха он меняется на насыщенный цветочно-фруктовый. Опасны слишком высокая температура и передержка.
В предложенном варианте, как раз нет этой дряни, которая может падать/литься с колёс. Дрон цепляет пассажирскую капсулу, а колеса, с налипшей дрянью, остаются на земле. Мне очень понравилась идею. Если сделать эти капсулы реально беспилотными и жёстко зашить во все элементы периодическое ТО, без которого это не будет летать/ездить, то очень интересный транспорт может получиться. Но опять же возникает вопрос — сколько будет стоить поездка на такой штуке?
Кстати, я в этом же банке «Т» тоже чуть-чуть не наступил на эти же грабли, но когда хотел получить ипотеку. Хорошо, что вовремя остановился, когда жмакнул по ссылке и прочитал условия передачи информации. Там в конце тоже было — «Я даю согласие на получение мной рекламы и (или) рассылки, в том числе по сети подвижной радиотелефонной связи от Агента, Партнеров и (или) их контрагентов» и про 15 летнее согласие на получение спама :-) На этом моё знакомство с этим «милым» банком закончилось.
Дайте технарю слово и заберите микрофон у маркетолога. У вас же есть много интересного, о чём можно написать — подробности реализация ICL Cloud на базе OpenStack, внутренняя кухня аутсорсинга, плюсы и минусы при работе с иностранными заказчиками, как собирают технику на заводе ICL и многое другое. Зачем писать этот маркетинговый булшит?
Я вам искренне завидую :-) Ваша категоричность в суждениях не особо к месту — не находите? Я везде указываю, что всё что пишу — моё личное мнение. Вы можете написать Свою статью, о Вашем опыте, когда адаптируются за две недели и меньше и опыте удержания сотрудников в компании. Мне, да и многим другим, это было бы очень интересно. Основная цель моей статьи — донести до начинающих менеджеров необходимость работать со своими сотрудниками, слышать их и быть лидерами команд, а не «боссами и начальниками». Мериться у кого опыт больше я не очень жажду, не красиво это и ни к чему. Все вроде взрослые люди.
Моё личное мнение — это не нормально, если разработчик меняет работу раз в год. Пример из личного опыта: 3 месяца уходит, чтобы новый девелопер прошёл процесс передачи знаний и влился в компанию, примерно через 4-6 месяцев он начинает выдавать улучшения в существующих системах и коде, а не просто делать рутинные задачи. Получается, что если такой девелопер уйдёт через год, то продуктивно он поработает максимум 8 месяцев, и надо снова начинать всю эту карусель. Если знать стоимость подбора нормального девелопера, так мало кто будет делать из более-менее серьёзных игроков, таких «попрыгунчиков» просто не берут в штат. Сколько угодно пилить код моему подразделению инхаус-разработки никак нельзя, они выдают новый функционал владельцам каждые 10 дней (скрам не даёт сильно расслабиться :-) )
За 10 лет работы в качестве менеджера в ИТ, в разных компаниях и на разных уровнях, у меня не было ни одного такого случая и мои «розовые очки» пока целы :-) Может они из небьющегося стекла, а может мне просто везёт на хороших людей :-)
Возможно я не ясно выразился. У меня сейчас живой пример — один сотрудник при проведении квартального ревью предупредил, что он отработает в компании ещё год и уйдёт (так сложились обстоятельства). Он же сам участвует в собеседованиях с кандидатами на его должность. И это норма — предупреждать заранее о своём уходе, помогать в подборе и передавать свои знания преемнику. Так должно быть, если у компании нормальные отношения с сотрудниками. Если же у вас сотрудник пишет просто заявление и уходит через две недели или вообще уходит в отпуск с последующим увольнением, то значит надо что-то менять.
Раз в квартал надо будет проходить ASV сканирование сайта, на котором идёт ввод карточных данных и раз в год заполнять опросник SAQ. Первое ASV сканирование будет для вас сюрпризом, скорее всего, так как в отчёте будет много страниц, связанных с уязвимостями и способами их устранения :-) Для подтверждения статуса надо будет их оперативно ликвидировать и пройти повторное сканирование (обычно повторное тоже стоит денег).
Из плюсов — вы сможете кастомизировать форму оплату, как вашей душе угодно + не будет не нужных переходов на сайты агрегаторов/платёжных систем. Но, как справедливо заметил автор, если вы никому неизвестны, то это может снизить конверсию, а если известны — повысить. Люди опасаются вводить карточные данные на сайтах, которые им не известны. Также, благодаря регулярным сканированиям, можно быть уверенным, что ваш сайт соответствует требованиям безопасности и его не так просто сломать :-)
По нашим наблюдениям, когда работали с CloudFlare и были атаки, с включением защиты в режим under attack mode — конверсия падала от 6 до 15%. Так как клиенты не дожидались завершения JavaScript challenge и закрывали сайт. Атаки, которые приходят, после перехода на Qrator мы замечаем только благодаря внутреннему мониторингу. Они никак не отражаются на конверсии и доступности.
Из минусов:
P.S. У Incapsula все достоинства убиваются одной фразой — «Support Email 8X5» и это на всех тарифах, кроме Enterprise!