Комментарии 3
"Собирать логи (только для УЗ2)." - по факту безопасники Заказчика требуют всегда, если есть перс данные.
И да - при наличии перс данных логов у нас нет - вместо них у нас события безопасности :)
Хм, у PCI DSS еще куча требований по хранению данных карт, cvv в процессе платежа, составу логов, подходу к разработке и так далее. И это все требует думать про архитектуру на ранних этапах разработки.
Безусловно. И требований много, и стартапы разные бывают. Только вот CVV хранить самостоятельно мало кому нужно - это нужно именно при авторизации платежей. Делающие процессинговый центр с нуля - скорее всего купят подходящий софт)
Чаще вопросы возникают у мерчантов и пользователей подключаемых процессинговых центров - им CVV хранить не нужно.
Подход к разработке у всех разный и как раз WAF позволяет сократить внимание к процедурам code review. А подход к хранению логов - тема, которую в короткой статье не описать, но логи в любом случае нужно хранить. И это - потребует денег.
Я статья задумал в основном как гайд "на что обратить внимание, и стоимость чего необходимо учесть", чтобы не возникло ситуации, когда экономика сервиса уже рассчитана, завтра запускаться, а тут выясняется что запуск без сертификата или заключения невозможен, а сертификат или заключение потребуют вложений, разрушающих экономику сервиса
Гайд по информационной безопасности для финтех-стартапов: Зачем нужна ИБ, и как не ошибиться до начала работы