サイトでの高度なプラスチック受付、またはPCI DSSデブリーフィング
インターネットのWebCreds Checkoutを取得するという新しい頭脳の立ち上げに関連して、さらなる開発計画に対処する必要がありました。 また、このプランにはシンプルなものが含まれていました。さまざまなセキュリティパートナーと、または異なる通貨で作業する場合は、当社のWebサイトでカード情報を入力する必要があります。 そして、その場合にのみ、不正な処理に対処して、トランザクションをさらにスキップするかどうかを決定します。 同時に、これにより、定期的な請求書(自動支払い(月額購読料など))を提供できるようになります。
なぜこのトピックがあなたと私にとってまだ興味深いのですか? あなたがオンラインストアまたは大きなポータルの所有者であるか、訪問者の変換を担当している場合、支払いを行うと、支払い者を支払いシステムのページに移動します。 これは、すでに不幸なユーザーのコンバージョンに影響します。 支払いページで発生しているすべてのことを確認した後、ユーザーは多くの場合、支払いを完了しません。店のページにアクセスし、支払いの準備ができたためです。 2番目の目的は、コンテキストに応じて処理サービスのプロバイダーを選択する機能ですが、サイトに支払いページが1つあります。
例:カード発行国はカード番号にエンコードされています。これにより、どの国の処理で不正取引をより確実に処理するために取引を転送する方がよいかを理解できます。 まあ、多くのそのような可能なアプリケーションがあります。
免責事項! 私は、国際決済システム、セキュリティ要件、およびパートナーを非常に尊敬しています。なぜ要件がそのようなものであるか、また認証市場のすべての参加者の商業的利益をよく理解しています。
だから、私はこれについて2週間で学んだこと:
1)Webサイトに銀行カード情報を入力するには、情報システムがPCI DSS標準の要件を満たしている必要があります 。 このケース専用のロシアのサイト-http ://www.pcidss.ru/
2)規格への準拠証明書を受け取るために、QSA監査人は国際決済システムの監督委員会によって各国で任命されます。 それらのリストは公開されており、ロシアではそのような会社がいくつかあります( http://www.dsec.ru/、http://www.infosec.ru/-最も有名ですが、他にもあります)。 国内にはこの基準に従って認証されている組織は数少ないため、パンはほとんどなく、監査だけでなく、この分野でのコンサルティング、および一般にアプリケーションセキュリティの分野での監査も行っています。 (毎年、ITセキュリティの以前の勤務地で監査を受けた人としてあなたに言います)
3)年間最大3万件のカードトランザクションまでの小規模な商人のために、ホストの簡素化された監査アンチウイルススキャンと脆弱性の外部スキャンが提供されます。 もちろん1日あたり82枚のカードトランザクション-1日あたり平均800枚の購入が非常に多くあります:)) 年間30,000を超えるカード取引がある場合は、監査人のメスの下に行く必要があります。
4)監査人の関心はアドバイスを開始することです。したがって、支払人データを保護するための独創的なシステムの構築を支援するためにあなたを招待するまで、あなたは全体的なスコアを減らす手がかりを探します。 しかし、賢い人は間違っています。 賢い人は、開発時、システム変更時、監査の準備時に助言を求め、もう1人は監査に直接助言する監査人を招待します。 その後、会議のために彼らをオフィスに閉じ込めると、彼らはお互いに戦う。 したがって、最も信頼性の高い方法で多くのお金を費やした後、あなたはすぐに標準への準拠の証明書を受け取ります。
5)監査結果に基づいて、監査人はコンプライアンスレポートをRoC支払いシステムに送信します。 このレポートには、標準の要件の各章に準拠する割合、および各キー管理のコンプライアンスが不完全な場合にリスクを軽減および制御するために講じた対策が記載されています。 支払いシステムはレポートを見て、すべてがそれらに合っているかどうかを喜んで教えてくれます。 すべてが問題なければ、彼らはあなたにこのような証明書が付いた美しい写真を送ります。
6)BS7799またはISO-17799規格に基づく情報セキュリティ監査に精通しているすべての人は、彼らが待ち望んでいることを大体理解しています。 標準ファイルでは、短い紹介が用意されており、以降キーコントロールと呼びます。 それはすべて、要件が書かれたプレート、簡単な説明、次に検査対象システムへの準拠をマークするフィールド、監査人のコメントのように見えます。
7)オブジェクトに到着した監査人は、すべての章を通過します。12があり、各キーコントロールの反対側にダニがあります。 監査の後、彼はこのフォームを表示し、レポートを作成します。 レポートは通常、すべてが非常に悪い、または単に悪いと言っています。 当然、彼らは欠点などを排除するための推奨事項を提示しません。
8)実際には、監査自体は要件の実装ほど高価ではありません(もちろん、監査もペニーではありません。レベル2の場合、金額は少なくとも1,500,000ルーブルになります)。 したがって、アイデアがありました。高価なおもちゃを叩くだけではどうでしょうか。 つまり 私たちは認定されますが、非常に慎重に、たとえば、請求書の再帰者をまったく働かせるよりも高くすることが可能です:)これは、アダルト市場で積極的に働くことによってのみ反発できますが、これは私たちのプロフィールではありません。 また、情報の保存と処理が少なく、機能が少ないほど、標準の要件の実装と監査自体が安くなります。これは、監査がますます少なくなるためです。
9)次のリンクで、このテーマに関する非常に興味深いプレゼンテーションを見ることができます。
よくある質問
プロ侵入テスト
標準要件のいくつかの側面
ロシア最大の加工会社の1つの標準の要件を達成した経験
私はあなたがあなた自身のためにそれを理解する標準のテキストで考える。 これはロシアの電子商取引にとって非常に必要なものであり、私たちがそれについて知っている人が多いほど良い。
よろしく、
イリヤ・アブド
なぜこのトピックがあなたと私にとってまだ興味深いのですか? あなたがオンラインストアまたは大きなポータルの所有者であるか、訪問者の変換を担当している場合、支払いを行うと、支払い者を支払いシステムのページに移動します。 これは、すでに不幸なユーザーのコンバージョンに影響します。 支払いページで発生しているすべてのことを確認した後、ユーザーは多くの場合、支払いを完了しません。店のページにアクセスし、支払いの準備ができたためです。 2番目の目的は、コンテキストに応じて処理サービスのプロバイダーを選択する機能ですが、サイトに支払いページが1つあります。
例:カード発行国はカード番号にエンコードされています。これにより、どの国の処理で不正取引をより確実に処理するために取引を転送する方がよいかを理解できます。 まあ、多くのそのような可能なアプリケーションがあります。
免責事項! 私は、国際決済システム、セキュリティ要件、およびパートナーを非常に尊敬しています。なぜ要件がそのようなものであるか、また認証市場のすべての参加者の商業的利益をよく理解しています。
だから、私はこれについて2週間で学んだこと:
1)Webサイトに銀行カード情報を入力するには、情報システムがPCI DSS標準の要件を満たしている必要があります 。 このケース専用のロシアのサイト-http ://www.pcidss.ru/
2)規格への準拠証明書を受け取るために、QSA監査人は国際決済システムの監督委員会によって各国で任命されます。 それらのリストは公開されており、ロシアではそのような会社がいくつかあります( http://www.dsec.ru/、http://www.infosec.ru/-最も有名ですが、他にもあります)。 国内にはこの基準に従って認証されている組織は数少ないため、パンはほとんどなく、監査だけでなく、この分野でのコンサルティング、および一般にアプリケーションセキュリティの分野での監査も行っています。 (毎年、ITセキュリティの以前の勤務地で監査を受けた人としてあなたに言います)
3)年間最大3万件のカードトランザクションまでの小規模な商人のために、ホストの簡素化された監査アンチウイルススキャンと脆弱性の外部スキャンが提供されます。 もちろん1日あたり82枚のカードトランザクション-1日あたり平均800枚の購入が非常に多くあります:)) 年間30,000を超えるカード取引がある場合は、監査人のメスの下に行く必要があります。
4)監査人の関心はアドバイスを開始することです。したがって、支払人データを保護するための独創的なシステムの構築を支援するためにあなたを招待するまで、あなたは全体的なスコアを減らす手がかりを探します。 しかし、賢い人は間違っています。 賢い人は、開発時、システム変更時、監査の準備時に助言を求め、もう1人は監査に直接助言する監査人を招待します。 その後、会議のために彼らをオフィスに閉じ込めると、彼らはお互いに戦う。 したがって、最も信頼性の高い方法で多くのお金を費やした後、あなたはすぐに標準への準拠の証明書を受け取ります。
5)監査結果に基づいて、監査人はコンプライアンスレポートをRoC支払いシステムに送信します。 このレポートには、標準の要件の各章に準拠する割合、および各キー管理のコンプライアンスが不完全な場合にリスクを軽減および制御するために講じた対策が記載されています。 支払いシステムはレポートを見て、すべてがそれらに合っているかどうかを喜んで教えてくれます。 すべてが問題なければ、彼らはあなたにこのような証明書が付いた美しい写真を送ります。
6)BS7799またはISO-17799規格に基づく情報セキュリティ監査に精通しているすべての人は、彼らが待ち望んでいることを大体理解しています。 標準ファイルでは、短い紹介が用意されており、以降キーコントロールと呼びます。 それはすべて、要件が書かれたプレート、簡単な説明、次に検査対象システムへの準拠をマークするフィールド、監査人のコメントのように見えます。
7)オブジェクトに到着した監査人は、すべての章を通過します。12があり、各キーコントロールの反対側にダニがあります。 監査の後、彼はこのフォームを表示し、レポートを作成します。 レポートは通常、すべてが非常に悪い、または単に悪いと言っています。 当然、彼らは欠点などを排除するための推奨事項を提示しません。
8)実際には、監査自体は要件の実装ほど高価ではありません(もちろん、監査もペニーではありません。レベル2の場合、金額は少なくとも1,500,000ルーブルになります)。 したがって、アイデアがありました。高価なおもちゃを叩くだけではどうでしょうか。 つまり 私たちは認定されますが、非常に慎重に、たとえば、請求書の再帰者をまったく働かせるよりも高くすることが可能です:)これは、アダルト市場で積極的に働くことによってのみ反発できますが、これは私たちのプロフィールではありません。 また、情報の保存と処理が少なく、機能が少ないほど、標準の要件の実装と監査自体が安くなります。これは、監査がますます少なくなるためです。
9)次のリンクで、このテーマに関する非常に興味深いプレゼンテーションを見ることができます。
よくある質問
プロ侵入テスト
標準要件のいくつかの側面
ロシア最大の加工会社の1つの標準の要件を達成した経験
私はあなたがあなた自身のためにそれを理解する標準のテキストで考える。 これはロシアの電子商取引にとって非常に必要なものであり、私たちがそれについて知っている人が多いほど良い。
よろしく、
イリヤ・アブド
All Articles