SlideShare a Scribd company logo

кузнецов практика Pa dss

Download as PPTX, PDF
Informzaschita
Informzaschita
1 of 13
Стандарт PA-DSS: безопасность платежных приложений Москва, 25.03.2010 PA-DSS: Практика. Типовые задачи и способы их решения.
Процесссертификации Проверка процесса разработки и внесения изменений Лабораторные испытания Проверка исходного кода
Как долго процесс сертификации идет? Недолго, так как разработчики оказались в высокой степени готовности благодаря достаточно зрелому процессу разработки и внесения изменений в ПО
Анализисходногокода Разработчик обоснованно не желает передавать исходный код на сторону для анализа
Решение Организация безопасного удаленного просмотра кода Локальная проверка кода разработчиком (заранее оговоренными специализированными инструментами) и отправка логов аудитору
Хранение номеров платежных карт Номера платежных карт хранятся в журнале транзакций в незашифрованном виде (требование 2.3)
Решение Так как в данном конкретном случае: журнал транзакций находится в файловой системе ОС Hypercom (Nucleos OS); для каждого приложения, устанавливаемого на POS-терминал через ApplicationManager, создается каталог с правами доступа только этому приложению; интерфейса командной строки в ApplicationManager нет. Доступ к каталогу ПО и следовательно к журналу транзакций получить не возможно, то требование к журналу транзакций признано не применимым
Нестандартная схема идентификации Приложение не поддерживает подход авторизации пользователей по идентификаторам/паролям (требование 3.1)
Решение Так как возможности пользователей и администратора ограничены лишь операциями, не дающими доступ к данным платежных карт (не представляющими риск безопасности), то требование было признано не применимым в данном конкретном случае
Отсутствиетребуемогофункционала Пароли хранятся в открытом виде Двухфакторная аутентификация при удаленном доступе не реализована
Решение Доработка кода
Стандарт PA-DSS: безопасность платежных приложений

Recommended

Кузнецов Практика P A D S S
Кузнецов Практика P A D S SКузнецов Практика P A D S S
Кузнецов Практика P A D S SInformzaschita
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
TMPA-2013 Sharov: Client Certification
TMPA-2013 Sharov: Client CertificationTMPA-2013 Sharov: Client Certification
TMPA-2013 Sharov: Client CertificationIosif Itkin
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...Expolink
 

Recommended

Кузнецов Практика P A D S S
Кузнецов Практика P A D S SКузнецов Практика P A D S S
Кузнецов Практика P A D S SInformzaschita
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
TMPA-2013 Sharov: Client Certification
TMPA-2013 Sharov: Client CertificationTMPA-2013 Sharov: Client Certification
TMPA-2013 Sharov: Client CertificationIosif Itkin
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...Expolink
 
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...Expolink
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Iosif Itkin
 
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...Expolink
 
Android application security assessment
Android application security assessmentAndroid application security assessment
Android application security assessmentMykhailo Antonishyn
 
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade Systems
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade SystemsTMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade Systems
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade SystemsIosif Itkin
 
Мониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSSМониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSSMFISoft
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sightInformzaschita
 
Normas de inicio 2014... enviado por manuel gonzales minedu
Normas de inicio 2014... enviado por manuel gonzales mineduNormas de inicio 2014... enviado por manuel gonzales minedu
Normas de inicio 2014... enviado por manuel gonzales mineduPunoinfo Portal Puneño
 
8octavo 3 Maria Tuberquia
8octavo 3 Maria Tuberquia8octavo 3 Maria Tuberquia
8octavo 3 Maria Tuberquiainestordecilla
 
8.Pereelu
8.Pereelu8.Pereelu
8.PereeluKaja Ilves
 
Gordey - risk vs compliance
Gordey - risk vs complianceGordey - risk vs compliance
Gordey - risk vs complianceqqlan
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss complianceInformzaschita
 
6.n.danyukov oracle
6.n.danyukov oracle6.n.danyukov oracle
6.n.danyukov oracleInformzaschita
 
Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...Informzaschita
 
1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processyInformzaschita
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znatInformzaschita
 

More Related Content

What's hot

InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...Expolink
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Iosif Itkin
 
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...Expolink
 
Android application security assessment
Android application security assessmentAndroid application security assessment
Android application security assessmentMykhailo Antonishyn
 
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade Systems
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade SystemsTMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade Systems
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade SystemsIosif Itkin
 
Мониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSSМониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSSMFISoft
 

What's hot (9)

InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
 
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
Anti-Malware. Илья Шабанов. "На что стоит обратить внимание при выборе DLP-си...
 
Android application security assessment
Android application security assessmentAndroid application security assessment
Android application security assessment
 
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade Systems
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade SystemsTMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade Systems
TMPA-2015: ClearTH: a Tool for Automated Testing of Post Trade Systems
 
Мониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSSМониторинг доступа к данным по стандарту PCI DSS
Мониторинг доступа к данным по стандарту PCI DSS
 

Viewers also liked

введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Normas de inicio 2014... enviado por manuel gonzales minedu
Normas de inicio 2014... enviado por manuel gonzales mineduNormas de inicio 2014... enviado por manuel gonzales minedu
Normas de inicio 2014... enviado por manuel gonzales mineduPunoinfo Portal Puneño
 
8octavo 3 Maria Tuberquia
8octavo 3 Maria Tuberquia8octavo 3 Maria Tuberquia
8octavo 3 Maria Tuberquiainestordecilla
 
Gordey - risk vs compliance
Gordey - risk vs complianceGordey - risk vs compliance
Gordey - risk vs complianceqqlan
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss complianceInformzaschita
 
Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...Informzaschita
 
1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processyInformzaschita
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znatInformzaschita
 
Mi Entorno Personal de Aprendizaje (PLE)
Mi Entorno Personal de Aprendizaje (PLE)Mi Entorno Personal de Aprendizaje (PLE)
Mi Entorno Personal de Aprendizaje (PLE)victoria170591
 
Manual del lider pedagogico
Manual del lider pedagogicoManual del lider pedagogico
Manual del lider pedagogicoMarianela Castro
 
Manual Descubre la Biblia en 8 sesiones
Manual Descubre la Biblia en 8 sesionesManual Descubre la Biblia en 8 sesiones
Manual Descubre la Biblia en 8 sesionesYosef Sanchez
 

Viewers also liked (20)

введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
 
Normas de inicio 2014... enviado por manuel gonzales minedu
Normas de inicio 2014... enviado por manuel gonzales mineduNormas de inicio 2014... enviado por manuel gonzales minedu
Normas de inicio 2014... enviado por manuel gonzales minedu
 
8octavo 3 Maria Tuberquia
8octavo 3 Maria Tuberquia8octavo 3 Maria Tuberquia
8octavo 3 Maria Tuberquia
 
8.Pereelu
8.Pereelu8.Pereelu
8.Pereelu
 
Gordey - risk vs compliance
Gordey - risk vs complianceGordey - risk vs compliance
Gordey - risk vs compliance
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci compliance
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
 
6.n.danyukov oracle
6.n.danyukov oracle6.n.danyukov oracle
6.n.danyukov oracle
 
Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...
 
1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
 
Plan de monitoreo 2015
Plan de monitoreo 2015Plan de monitoreo 2015
Plan de monitoreo 2015
 
Descubriendo Mi Cuerpo
Descubriendo Mi CuerpoDescubriendo Mi Cuerpo
Descubriendo Mi Cuerpo
 
Norma 17025 septiembre 2012
Norma 17025 septiembre 2012Norma 17025 septiembre 2012
Norma 17025 septiembre 2012
 
Mi Entorno Personal de Aprendizaje (PLE)
Mi Entorno Personal de Aprendizaje (PLE)Mi Entorno Personal de Aprendizaje (PLE)
Mi Entorno Personal de Aprendizaje (PLE)
 
Manual del lider pedagogico
Manual del lider pedagogicoManual del lider pedagogico
Manual del lider pedagogico
 
Manual Descubre la Biblia en 8 sesiones
Manual Descubre la Biblia en 8 sesionesManual Descubre la Biblia en 8 sesiones
Manual Descubre la Biblia en 8 sesiones
 
Logicomatematicas
LogicomatematicasLogicomatematicas
Logicomatematicas
 

Similar to кузнецов практика Pa dss

О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Тестирование наукоёмких SDK
Тестирование наукоёмких SDKТестирование наукоёмких SDK
Тестирование наукоёмких SDKSQALab
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest
 
Повышаем и следим за качеством PHP кода
Повышаем и следим за качеством PHP кодаПовышаем и следим за качеством PHP кода
Повышаем и следим за качеством PHP кодаAleksandr Makhomet
 
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...Tatyanazaxarova
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Презентация прототипа GUI Machine: Система подтверждения подписи должностных лиц
Презентация прототипа GUI Machine: Система подтверждения подписи должностных лицПрезентация прототипа GUI Machine: Система подтверждения подписи должностных лиц
Презентация прототипа GUI Machine: Система подтверждения подписи должностных лицRustem Gayfutdinov
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
Вебинар №4 «IT-инфраструктура безбумажной работы»
Вебинар №4 «IT-инфраструктура безбумажной работы»Вебинар №4 «IT-инфраструктура безбумажной работы»
Вебинар №4 «IT-инфраструктура безбумажной работы»Docsvision
 
New SpyLOG architechture (Highload 2008)
New SpyLOG architechture (Highload 2008)New SpyLOG architechture (Highload 2008)
New SpyLOG architechture (Highload 2008)Sergey Skvortsov
 
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...Expolink
 

Similar to кузнецов практика Pa dss (20)

О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
MS TFS 2010 - Обзор и архитектура
MS TFS 2010 - Обзор и архитектураMS TFS 2010 - Обзор и архитектура
MS TFS 2010 - Обзор и архитектура
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Тестирование наукоёмких SDK
Тестирование наукоёмких SDKТестирование наукоёмких SDK
Тестирование наукоёмких SDK
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Повышаем и следим за качеством PHP кода
Повышаем и следим за качеством PHP кодаПовышаем и следим за качеством PHP кода
Повышаем и следим за качеством PHP кода
 
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Презентация прототипа GUI Machine: Система подтверждения подписи должностных лиц
Презентация прототипа GUI Machine: Система подтверждения подписи должностных лицПрезентация прототипа GUI Machine: Система подтверждения подписи должностных лиц
Презентация прототипа GUI Machine: Система подтверждения подписи должностных лиц
 
Euph doc
Euph docEuph doc
Euph doc
 
Euph doc
Euph docEuph doc
Euph doc
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
Вебинар №4 «IT-инфраструктура безбумажной работы»
Вебинар №4 «IT-инфраструктура безбумажной работы»Вебинар №4 «IT-инфраструктура безбумажной работы»
Вебинар №4 «IT-инфраструктура безбумажной работы»
 
New SpyLOG architechture (Highload 2008)
New SpyLOG architechture (Highload 2008)New SpyLOG architechture (Highload 2008)
New SpyLOG architechture (Highload 2008)
 
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
 

кузнецов практика Pa dss

  • 1. Стандарт PA-DSS: безопасность платежных приложений Москва, 25.03.2010 PA-DSS: Практика. Типовые задачи и способы их решения.
  • 2. Процесссертификации Проверка процесса разработки и внесения изменений Лабораторные испытания Проверка исходного кода
  • 3. Как долго процесс сертификации идет? Недолго, так как разработчики оказались в высокой степени готовности благодаря достаточно зрелому процессу разработки и внесения изменений в ПО
  • 4. Анализисходногокода Разработчик обоснованно не желает передавать исходный код на сторону для анализа
  • 5. Решение Организация безопасного удаленного просмотра кода Локальная проверка кода разработчиком (заранее оговоренными специализированными инструментами) и отправка логов аудитору
  • 6. Хранение номеров платежных карт Номера платежных карт хранятся в журнале транзакций в незашифрованном виде (требование 2.3)
  • 7. Решение Так как в данном конкретном случае: журнал транзакций находится в файловой системе ОС Hypercom (Nucleos OS); для каждого приложения, устанавливаемого на POS-терминал через ApplicationManager, создается каталог с правами доступа только этому приложению; интерфейса командной строки в ApplicationManager нет. Доступ к каталогу ПО и следовательно к журналу транзакций получить не возможно, то требование к журналу транзакций признано не применимым
  • 8. Нестандартная схема идентификации Приложение не поддерживает подход авторизации пользователей по идентификаторам/паролям (требование 3.1)
  • 9. Решение Так как возможности пользователей и администратора ограничены лишь операциями, не дающими доступ к данным платежных карт (не представляющими риск безопасности), то требование было признано не применимым в данном конкретном случае
  • 10. Отсутствиетребуемогофункционала Пароли хранятся в открытом виде Двухфакторная аутентификация при удаленном доступе не реализована
  • 12.
  • 13. Стандарт PA-DSS: безопасность платежных приложений