Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Открыта регистрация на PCI DSS Training и Practical Security Village, г. Алматы, Казахстан

Конференции
21-22 ноября 2019 года в городе Алматы состоятся авторский семинар PCI DSS Training и воркшоп по практической безопасности Practical Security Village.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 879
Комментарии 0

продвинутый прием пластика на сайте, или разбор полетов PCI DSS

Платежные системы *
В связи с запуском нашего нового детища — интернет-эквайринга WebCreds Checkout встала необходимость разобраться с дальнейщим планом разработки. А этот план у нас включал в себя простую вещь: если ты хочешь работать с различными партнерами по безопасности, или же по разным валютам, то необходимо вводить данные о карточке у нас на сайте. А уже потом мы со своим фрод-процессингом будем разбираться пропускать дальше транзакцию, или нет. Заодно это бы позволило нам предлагать recurring bills — автоматические платежи(например ежемесячная абонентская плата).

Почему эта тема еще  интересна для нас с Вами? Если Вы владелец интернет-магазина, или большого портала, или отвечаете за конверсию посетителей, то при оплате Вы передаете плательщика на страницу платежной системы, в другой дизайн и среду, с уродскими в основном формами. Это плохо влияет на конверсию и так несчастного пользователя. Увидев все, что происходит на платежной странице, пользователь часто не заканчивает платеж, потому что только что был на странице магазина, и уже был готов заплатить, а оказался непонятно где. Второе предназначение — это возможность выбора поставщика процессиновых услуг в зависимости от конекста, но с одной платежной страницей у Вас на сайте.
Читать дальше →
Всего голосов 10: ↑6 и ↓4 +2
Просмотры 3.2K
Комментарии 11

Взгляд на аудит сквозь призму стандарта PCI DSS

Информационная безопасность *
Взгляд на аудит сквозь призму стандарта PCI DSS

Стремительно растет количество операций с использованием пластиковых карт: онлайн-платежи, безналичный расчет в торгово-сервисных предприятиях, манипуляции с банковским счетом в системах онлайн-банкинга и прочие платежные приложения от поставщиков услуг. Соответственно, расширяется инфраструктура, в которой циркулируют информация о держателях карт и критичные аутентификационные данные. В случае попадания этой информации или ее части в руки к злоумышленникам финансовые потери несут как банки-эмитенты, так и конечные пользователи.
Читать дальше →
Всего голосов 36: ↑32 и ↓4 +28
Просмотры 27K
Комментарии 14

PCI DSS – как и зачем получать сертификат соответствия

Блог компании PayOnline Управление e-commerce *
Привет, %username%!
Этот пост мы подготовили для тех, кто работает в сфере интернет-коммерции и планирует принимать (или уже принимает) платежи на собственном сайте. Мы расскажем о международном стандарте безопасности данных PCI DSS. Поговорим о его основных требованиях к информационной инфраструктуре, которая обеспечивает обработку и обеспечение безопасности данных банковских карт. Также мы рассмотрим основные причины прохождения сертификации и возможности, которые получает сертифицированная компания.
Подробности
Всего голосов 2: ↑1 и ↓1 0
Просмотры 47K
Комментарии 11

Безопасность платежей. Часть 1: Стандарт PCI DSS

Блог компании Deiteriy Информационная безопасность *
Любая отрасль в своем развитии проходит путь от свободы творчества к той или иной форме регулирования, осуществляемого государством или негосударственными организациями. Целью регулирования обычно становится защита интересов, находящихся в противоречии с извлечением прибыли, и по этой причине не являющихся предметом заботы со стороны бизнеса.

Не является исключением и платежная индустрия. Интерес бизнеса заключается в максимально быстром и комфортном осуществлении покупателями платежей в пользу торгово-сервисных предприятий и предложении всем участникам рынка сопутствующих услуг. К сожалению, удобная оплата в один клик на сайте магазина может обернуться неприятными последствиями для держателя банковской карты, если кто-то из участников платежной цепочки — магазин, банк или процессинговый центр не предприняли необходимых мер безопасности при обработке данных. Безопасность денег на картах клиентов хоть и является для бизнеса вопросом репутации, но прямой выгоды, скажем честно, не несет. Вот и вступают в игру государственные регуляторы и международные сообщества, устанавливающие требования к защите. Если ранее термин «безналичный платеж» в основном ассоциировался только с банками и квитанциями, то популяризация кредитных карт, розничных безналичных расчетов и электронных денег вовлекло в платежную индустрию малый бизнес, в основном представленный предприятиями электронной коммерции и платежными агентами.

За прошедшие несколько лет появился целый ряд нормативных документов по безопасности платежей, и судя по активности регуляторов — появятся еще. В настоящее время в России наиболее актуальными являются международные стандарты PCI DSS и PA-DSS, а также Федеральный Закон № 161-ФЗ «О национальной платежной системе» и сопутствующие ему подзаконные акты в области безопасности. Именно с ними в основном приходится сталкиваться российским компаниям, решившим связать свой бизнес с безналичными платежами. Рассмотрим их по порядку.

Читать дальше →
Всего голосов 25: ↑23 и ↓2 +21
Просмотры 25K
Комментарии 5

Payler: PCI DSS аудит пройден!

Блог компании Payler Платежные системы *
image

Дорогие друзья!

Продолжаем знакомить вас с новостями Payler и спешим рассказать, пожалуй, о самом важном событии для нас — прохождении аудита PCI DSS. Подготовка к этому знаменательному событию шла целых три месяца и вот, буквально на прошлой неделе, завершилась процедура двухдневного аудита от известной датской компании Fortconsult. Теперь ждём детальный отчет и сертификат, а пока хотели бы поделиться с вами полученным опытом.

Не будем описывать все технические подробности процедуры, тем более на страницах Хабра о ней писали не один раз (понравившаяся нам статья). Немного затронем особенности нашего опыта.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 5.5K
Комментарии 3

Сертификация Windows Azure: соответствие PCI DSS и продление ISO

Блог компании Microsoft Microsoft Azure
image
Мы рады сообщить о том, что платформа Windows Azure прошла необходимые независимые проверки на соответствие стандартам Payment Card Industry (PCI) Data Security Standards (DSS). Аттестат соответствия был выдан независимым аттестованным экспертом (Qualified Security Assessor, QSA) по результатам аудита Windows Azure на соответствие стандартам безопасности PCI DSS 2.0 уровня Level 1. Для информирования клиентов о сертификации соответствующие документы Windows Azure PCI Attestation of Compliance и Windows Azure Customer PCI Guide опубликованы на официальном портале и доступны для загрузки.

Что такое PCI DSS?
Payment Card Industry (PCI) Data Security Standard (DSS) – это стандарт информационной безопасности разработанный для предотвращения неправомерных действий с кредитными картами через увеличение контроля над данными карт. Сертификация PCI является требованием для всех организаций (торговых или провайдеров платежных сервисов), которые занимаются процессингом транзакций кредитных карт.
Читать дальше →
Всего голосов 25: ↑13 и ↓12 +1
Просмотры 3.2K
Комментарии 13

Дайджест новостей платформы Windows Azure, декабрь-январь

Блог компании Microsoft Microsoft Azure
image

В рамках этого дайджеста новостей облачной платформы Windows Azure собраны основные анонсы для разработчиков, ИТ-профессионалов и для всех специалистов интересующихся облачными технологиями и платформой Windows Azure.

В этом выпуске:

  • Существенное снижение цен на хранилище данных Windows Azure;
  • Доступность новых экземпляров виртуальных машин для нагруженных вычислений c сетью InfiniBand;
  • Публичная доступность сервиса Hyper-V Recovery Manager;
  • Web Sites. Cтейджинг-окружение. Новый функционал Web Jobs. Функция AlwaysOn;
  • Mobile Services. Интеграция с SenchaTouch. Поддержка package.json. Поддержка startup-скриптов;
  • Windows Azure Scheduler. Интеграция с панелью администрирования;
  • Windows Azure Storage. Доступ на чтение к копии хранилища. Новая версия эмулятора. Библиотеки для С++ и Java;
  • Мониторинг. Новые функции службы мониторинга;
  • Платформа Windows Azure сертифицирована на соответствие PCI DSS;
  • А так же: новая библиотека для PHP, отчет Gartner, видео докладов Cloud OS Summit.

Предыдущие выпуски этого дайджеста можно найти в любой момент по следующей ссылке.
Читать дальше →
Всего голосов 33: ↑23 и ↓10 +13
Просмотры 4.2K
Комментарии 5

Процессы в разработке платежной системы

Блог компании Payler
image

Дорогие друзья!

Мы давно хотели рассказать о разработке нашей платежной системы, чтобы поделиться своим опытом. Наконец-то время беспрерывного кодинга прошло и появилось немного времени, чтобы структурировать информацию. Итак, рассказываем, как мы делали наш продукт.

Payler был разработан относительно в короткий промежуток времени. Мы попробовали различные методологии управления процессами, но в реалиях нашей команды следуем некоторой своей системе управления.

Преамбула: «Что такое Payler сегодня?»
● Основные компоненты продукта: антифрод, ядро шлюза, публичные и внутренние API, модули процессинга, административные интерфейсы мерчанта, мобильные клиенты, внутренние утилиты;
● Продукту несколько месяцев, получен сертификат на соответствие PCI DSS, появились первые клиенты;
● Используемые технологии: C#, Python, Ruby, MySQL, Redis, Angular.js etc.;
● Команда:
○ Backend: 3 разработчика, которые периодически переключаются между компонентами;
○ Frontend: 1 разработчик;
○ Mobile: 2 разработчика — 1 iOS, 1 Android;
○ Системный администратор.

Читать дальше →
Всего голосов 16: ↑8 и ↓8 0
Просмотры 9.4K
Комментарии 15

Руководство по виртуализации PCI DSS. Часть 1

Информационная безопасность *
Перевод
Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS

Руководство по виртуализации PCI DSS. Часть 2
Руководство по виртуализации PCI DSS. Часть 3

1 Введение


Виртуализация отделяет приложения, компьютеры, машины, сети, данные и сервисы от их физических ограничений. Виртуализация — это развивающееся понятие, охватывающее широкий круг технологий, инструментов и методов, которое может привести к значительным эксплуатационным преимуществам для организаций, которые решают использовать виртуализацию. Как и в любой развивающейся технологии, тем не менее, также по-прежнему продолжают развиваться и риски, которые зачастую менее понятны, чем риски, связанные с более традиционными технологиями.
Цель данного документа — предоставить руководство по вопросам использования виртуализации в соответствии со Стандартами Безопасности Данных в сфере платежных карт (PCI DSS). Для целей этого документа все ссылки приводятся на стандарт PCI DSS версии 2.0.
Существует четыре простых принципа, связанных с использованием виртуализации в средах с данными владельцев банковских карт:
  • a. Если технологии виртуализации используются в среде хранения данных о держателях карт, требования PCI DSS распространяются на эти технологии виртуализации.
  • b. Технология виртуализации представляет новые риски, которые не могут быть применены к другим технологиям, и которые необходимо оценивать при использовании виртуализации при работе с данными владельцев банковских карт.
  • c. Реализация виртуальных технологий может значительно отличаться, и организациям нужно выполнить тщательное исследование для выявления и документирования уникальных характеристик их особого применения виртуализации, включая все взаимодействия с процессами перевода платежей и с данными платежных карт.
  • d. Не существует единого метода или решения для настройки виртуализированных сред для удовлетворения требований стандарта PCI DSS. Конкретные средства управления и процедуры будут отличаться для каждой среды, в зависимости от того как выполнена и используется виртуализация.

Читать дальше →
Всего голосов 19: ↑16 и ↓3 +13
Просмотры 10K
Комментарии 14

Руководство по виртуализации PCI DSS. Часть 2

Информационная безопасность *
Перевод
Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS

Руководство по виртуализации PCI DSS. Часть 1
Руководство по виртуализации PCI DSS. Часть 3

3 Риски виртуализированных сред


Хотя виртуализация и дает определенное количество функциональных и оперативных преимуществ, переход к виртуальной среде не снижает риски, существующие в физических системах, а также может привнести и новые уникальные риски. Следовательно, существует ряд факторов, которые следует учитывать при создании виртуальных технологий, включая, но не ограничиваясь, теми, которые определены ниже.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 5.5K
Комментарии 0

Руководство по виртуализации PCI DSS. Часть 3

Информационная безопасность *
Перевод
Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS

Руководство по виртуализации PCI DSS. Часть 1
Руководство по виртуализации PCI DSS. Часть 2

4 Рекомендации


Меры, оговоренные в этом разделе, являются рекомендациями и полезным опытом, который поможет соответствовать требованиям PCI DSS в виртуальных средах.

4.1 Общие рекомендации

4.1.1 Оцените риски, связанные с виртуальными технологиями
Организации должны тщательно и всесторонне оценить риски, связанные с виртуализацией системных компонентов до выбора или осуществления определенного решения по виртуализации. Поток и хранение данных владельцев карт следует аккуратно документировать как часть данного процесса оценки риска, чтобы убедиться, что выявлены все области риска и что применены соответствующие меры. Виртуализацию следует разворачивать при полном рассмотрении всех ее плюсов и рисков, имея наготове всеобъемлющую систему контроля данных, приложений и всей среды в целом.

Виртуальные среды и компоненты системы должны по-прежнему быть включены в ежегодный процесс оценки рисков. Оценка риска и управленческие решения должны быть полностью документированы и поддерживаться подробной бизнес- и технической экспертизой.
Читать дальше →
Всего голосов 6: ↑4 и ↓2 +2
Просмотры 4.6K
Комментарии 0

Не совсем известные решения по защите ИТ-инфраструктуры бизнеса

Блог компании КРОК Информационная безопасность *


Классический подход российского бизнеса сегодня — это установка файрволла, затем после первых попыток направленных атак — системы защиты от вторжений. И дальше спать спокойно. На практике это даёт хороший уровень защиты только против скрипткидди, при любой более-менее серьёзной угрозе (например, от конкурентов или атаке от недоброжелателей, либо направленной атаке от иностранной группы промшпионажа) нужно что-то дополнительное, помимо классических средств.

Я уже писал про профиль типовой направленной атаки на российское гражданское предприятие. Теперь расскажу о том, как меняется стратегия защиты в целом в нашей стране в последние годы, в частности, в связи со смещением векторов атак на 0-day и связанные с этим внедрения статических анализаторов кода прямо в IDE.

Плюс пара примеров на сладкое — вы узнаете, что может твориться в полностью изолированной от Интернета сети и на периметре банка.
Читать дальше →
Всего голосов 29: ↑24 и ↓5 +19
Просмотры 50K
Комментарии 13

Payler: обновление сертификации PCI DSS до версии 3.0 — DONE

Блог компании Payler Информационная безопасность *Платежные системы *Разработка под e-commerce *


Дорогие друзья,

Мы в Payler уделяем особое внимание защите данных держателей карт. Еще до нового года мы обозначили свои планы относительно обновления сертификации безопасности PCI DSS до версии 3.0, так как понимали, что в скором будущем текущая версия 2.0 устареет и перестанет отвечать постоянно растущим требованиям к уровню безопасности.

Мы прошли аудит PCI DSS версии 3.0 и спешим рассказать вам, как это было. Но сначала отметим ключевые изменения в процессе обеспечения безопасности, отличающие версию 3.0:
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 4K
Комментарии 5

Сертификация PCI DSS: Что это и с чем её едят

Блог компании CloudMTS Разработка под e-commerce *


Последнее время Visa и MasterCard начали требовать от торговых предприятий и поставщиков услуг, работающих с карточными данными, соответствия стандарту PCI DSS. В этой связи вопрос требований этого стандарта становится важным не только для крупных игроков на рынке, но и для небольших торгово-сервисных предприятий.
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Просмотры 26K
Комментарии 9

Что такое PCI DSS и как происходит проверка на соответствие стандарту?

Блог компании PayOnline Информационная безопасность *Платежные системы *
imageВ конце 2015 года система электронных платежей PayOnline уже в восьмой раз доказала, что мерчанты и плательщики находятся под надежной защитой. А в мае 2016 года компания получила физический сертификат соответствия требованиям стандарта PCI DSS версии 3.1, подтверждающий высший мировой уровень безопасности.

На фоне этого события мы бы хотели подробнее рассказать, что такое PCI DSS, по каким критериям осуществляется проверка на соответствие стандарту и как, не имея собственного сертификата, интернет-магазин может обеспечить безопасность финансовых данных пользователей.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 46K
Комментарии 15

PCI DSS: Тенденции и преимущества

Блог компании CloudMTS Разработка веб-сайтов *Разработка под e-commerce *


/ фото Håkan Dahlström CC

Недавно мы провели опрос среди пятидесяти значимых игроков на рынке электронных платежей в России и Казахстане. Крупнейшие платежные системы рассказали нам о том, какую выгоду несет сертификация по стандарту PCI DSS.

Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт (Payment Card Industry Security Standards Council). Он определяет требования к организациям, имеющим отношение к безопасности данных платежных карт.
Читать дальше →
Всего голосов 13: ↑9 и ↓4 +5
Просмотры 5.4K
Комментарии 0

Встраиваем прием платежей в мобильное приложение, или почему можно забыть про PCI DSS и PA DSS

Платежные системы *Разработка под iOS *Разработка мобильных приложений *Разработка под Android *
Из песочницы

А нужен ли PCI DSS?


Рано или поздно большинство владельцев и разработчиков интернет-магазинов и мобильных приложений, принимающих платежи в онлайне, задаются вопросом: «должен ли мой проект соответствовать требованиям стандартов PCI DSS?».

PCI DSS — это стандарт безопасности, который применяется для всех организаций сферы обработки платежных карт: торговых точек, процессинговых центров, финансовых учреждений и поставщиков услуг, а также других организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.

Стандарт PA-DSS распространяется на поставщиков приложений и иных разработчиков приложений, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.


image

С веб-сайтом все довольно просто: при интеграции достаточно воспользоваться техническим решением, которое перенаправляет плательщика на форму ввода данных карты, расположенной на сайте PCI DSS сертифицированного платежного шлюза или загружает эту страницу во фрейме также с сертифицированного сайта. В этом случае торговец не подпадает под действия стандарта безопасности, так данные карты не хранятся и не передаются через его сервера, а к фрейму платежного шлюза сайт торговца не имеет доступа в силу политик безопасности web-браузеров.

С мобильным приложением все немного сложнее.
Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 33K
Комментарии 16

Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Блог компании ua-hosting.company Хостинг IT-инфраструктура *Хранение данных *Хранилища данных *
В этой статье мы расскажем какие инфраструктурные решения реализуют наши клиенты с применением серверных платформ Dell R730xd и почему цена на аренду этой платформы в европейском дата-центре TierIII+ уровня с отличными каналами связи в Украину и Россию, а также в 9 локациях в США, уже с размещением и коннективностью по цене от $249 / месяц за 2 х Intel Dodeca-Core Xeon E5-2650 v4 128GB DDR4 6x480 SSD 1Gbps стала реальностью. Поделимся возможными вариантами решений на основе этих платформ с применением частных vlan, 10G локальной сети и аппаратных Firewall от СISCO, которые доступны нашим клиентам по запросу. А также, в лучших традициях, предложим бонус в виде бесплатного периода пользования серверами Dell R730xd для читателей Habrahabr.

image

В последнее время мы получаем всë больше и больше запросов на построение различных корпоративных инфраструктур, и связано это, к сожалению, не столько с тем, что мы предоставляем решения очень высокого качества, сколько с ценой на эти решения и тем уровнем безопасности и верховенства права, который обеспечивается в Нидерландах и США, но увы, зачастую недоступен в Украине и России. Где, к сожалению, подобные решения стоят просто «космических» денег, так как понятие «длинные деньги» чуждо для постсоветских стран в принципе, на фоне других рисков или во все отсутствия необходимой инфраструктуры и уровня сертификации.
Читать дальше →
Всего голосов 16: ↑15 и ↓1 +14
Просмотры 26K
Комментарии 18
1