Комментарии 5
Не ожидал вас тут увидеть. Помню, вы у нас вели на БИТе — одним из самых нормальных преподов были. Жалко, что ушли — там ужасный разброд сейчас.
Приветствую! На БИТе были хорошие студенты. :) Сейчас я иногда преподаю на тематических семинарах, ближайший вот этот в Питере: habrahabr.ru/company/deiteriy/events/2429/ Приходите, участие бесплатно.
Не очень понятна разница между поставщиками услуг и торгово-сервисным предприятием. Можете пояснить, как определить, к какому типу относится та или иная организация?
Правильно ли я понимаю, что, если организация для осуществления транзакций на своём сайте вызывает во всплывающем окне форму ввода данных сертифицированного PSI-DSS интернет-эквайрера, то ей всё равно необходимо получить сертификацию по варианту SAQ A?
Если вызов формы оплаты происходит через мобильное приложение, то речь идёт про PA-DSS, но на данный момент нет чёткого регламента, обязывающего проходить эту сертификацию. Верно?
Правильно ли я понимаю, что, если организация для осуществления транзакций на своём сайте вызывает во всплывающем окне форму ввода данных сертифицированного PSI-DSS интернет-эквайрера, то ей всё равно необходимо получить сертификацию по варианту SAQ A?
Если вызов формы оплаты происходит через мобильное приложение, то речь идёт про PA-DSS, но на данный момент нет чёткого регламента, обязывающего проходить эту сертификацию. Верно?
Первый вопрос снимается.
Торгово-сервисное предприятие — это организация, которая продает товары или услуги и принимает в оплату банковские карты. Поставщики услуг — это организации, которые этот процесс обеспечивают. Это терминология международных платежных систем (merchants and service providers).
Да, Вы абсолютно правильно поняли, если организация для осуществления транзакций на своём сайте вызывает во всплывающем окне форму ввода данных сертифицированного по стандарту PCI DSS интернет-эквайера, то ей всё равно необходимоghjqnb сертификацию по варианту SAQ A.
Если вызов формы оплаты пользователем происходит через мобильное приложение, то в этом случае речь о PA-DSS пока не идет, сейчас это приравнено к открытию пользователем формы оплаты из браузера мобильного устройства или из браузера компьютера — он делает это на свой страх и риск. Его мобильной устройство, также как и настольный ПК, может быть заражено вредоносным кодом, не быть обновленным, и иметь прочие уязвимости. Пока что мобильные приложения не подлежат сертификации.
Причина этого проста — сертификация приложения по PA-DSS должна гарантировать, что это приложение и среду, в которой оно работает, можно будет настроить с точки зрения безопасности в соответствии с PCI DSS. Мобильные платформы этого пока не позволяют. Но есть хорошие новости — в Совете PCI SSC (международный регулятор отрасли) создана рабочая группа из представителей Microsoft, Apple, Google, и еще некоторых вендоров, которые разрабатывают POS-ready версии мобильных операционных систем, где подобных ограничений не будет. Надеюсь, что мы их скоро увидим.
Да, Вы абсолютно правильно поняли, если организация для осуществления транзакций на своём сайте вызывает во всплывающем окне форму ввода данных сертифицированного по стандарту PCI DSS интернет-эквайера, то ей всё равно необходимоghjqnb сертификацию по варианту SAQ A.
Если вызов формы оплаты пользователем происходит через мобильное приложение, то в этом случае речь о PA-DSS пока не идет, сейчас это приравнено к открытию пользователем формы оплаты из браузера мобильного устройства или из браузера компьютера — он делает это на свой страх и риск. Его мобильной устройство, также как и настольный ПК, может быть заражено вредоносным кодом, не быть обновленным, и иметь прочие уязвимости. Пока что мобильные приложения не подлежат сертификации.
Причина этого проста — сертификация приложения по PA-DSS должна гарантировать, что это приложение и среду, в которой оно работает, можно будет настроить с точки зрения безопасности в соответствии с PCI DSS. Мобильные платформы этого пока не позволяют. Но есть хорошие новости — в Совете PCI SSC (международный регулятор отрасли) создана рабочая группа из представителей Microsoft, Apple, Google, и еще некоторых вендоров, которые разрабатывают POS-ready версии мобильных операционных систем, где подобных ограничений не будет. Надеюсь, что мы их скоро увидим.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасность платежей. Часть 1: Стандарт PCI DSS