親愛なる友人
Paylerでは、カード会員データの保護に特に注意を払っています。 新しい年の前に、 PCI DSSセキュリティ認証をバージョン3.0に更新する計画を発表しました。近い将来、現在のバージョン2.0は時代遅れになり、セキュリティレベルに対する増え続ける要件を満たさなくなることがわかったためです。
PCI DSSバージョン3.0の監査に合格し、どのようになったのか急いでいます。 ただし、最初に、バージョン3.0を区別するセキュリティプロセスの重要な変更点に注意してください。
- バージョン3.0では、暗号化された形式での承認後に重要な認証データを保存することは禁止されています。
- PCI DSS規格でカバーされているすべてのシステムコンポーネントを特定し、説明する必要性が追加されました。
- パブリックネットワークのリストが拡張されました。
- 以前のように「攻撃を受けやすい」だけでなく、すべてのオペレーティングシステムの定期的なチェックを行う要件が追加されました。
- 認証メカニズムのクラッキングに対処するための新しい要件が追加されました。
- 新しい用語「変更検出メカニズム」が導入され、重要なシステムファイルに対するすべての不正な変更を記録するように設計されています。
- 2015年6月30日から、侵入テスト方法の実装が必要になります。テスト自体は、セグメンテーションの有効性を評価する必要があります。
さらに、バージョン3.0は、パスワードから識別フレーズへの移行をマークします。これは、より複雑で信頼性の高いものです。
どうでしたか
前回と同様、監査はデンマークの会社Fortconsultによって実施されました。 実際、プロセス全体は2つの不均等な部分に分割されています。多段階の準備と、実際には認証監査です。 2番目の部分-認定-3営業日かかりました。
監査人と面談する前でも、多くの準備作業を行いました。情報システムの脆弱性を特定するためのすべての手順を実行し、侵入テストを実施し、必要な文書を収集して構造化しました。 ところで、この監査では、カード所有者にデータを保存するための要件が厳しくなり、このデータへの権限とアクセス権が分離されました。これは次の2行で表現できます。
DDKを保存できない場合-保存しないでください、
アクセスを共有できない場合-共有しないでください。
問題は小さくなりました-証明書を待ちます。
かなりの量の作業が行われたにもかかわらず、結果と監査プロセス自体の両方に満足しています。 そしてもう1つ:まったく役に立ちませんが、それでもなお。 4月1日の前夜(ロシアのVisaの未来に関するヒステリーが頂点に達したとき)に、買収銀行のすべてがNSPKに接続されていることがわかりました。 そしてこれは、誤動作や中断-それらが何であれ-が商人に影響を与えないことを意味します。
お楽しみに!
愛をこめて
支払人
Facebookにご参加ください