PCI DSSずは䜕ですか、たたコンプラむアンスはどのようにチェックされたすか

画像 2015幎の終わりに、 PayOnline電子決枈システムは 、商人ず支払人が信頌できる保護䞋にあるこずを8回目に蚌明したした。 たた、2016幎5月に、同瀟はPCI DSS暙準バヌゞョン3.1の芁件に準拠しおいるずいう物理的な蚌明曞を受け取り、䞖界最高レベルのセキュリティを確認したした。



このむベントの背景に照らしお、PCI DSSずは䜕か、基準ぞの準拠を確認する基準、および独自の蚌明曞がなくおもオンラむンストアがナヌザヌの財務デヌタの安党性を確保する方法に぀いお詳しく説明したいず思いたす。







GoogleでPCI DSSの略語を採点したり、Habréで怜玢したりするず、この暙準を説明する蚘事がかなりありたす。 これらすべおの資料の察象読者は、電子商取匕に䜕らかの圢で関係しおいる人々であるこずがすぐに明らかになりたす。 これらは䞻に支払いアグリゲヌタヌず凊理センタヌであり、オンラむンストアの開発者のみです。



どのような皮類の電子商取匕も、䜕らかの方法で、補品を賌入したい賌入者がその補品の代金を支払わなければならないずいう事実に基づいおいたす。 䌚議で宅配䟿業者にお金を䞎えるために叀颚な方法で支払う胜力がロシアで最も人気があるずいう事実にもかかわらず、買い手が圌の支払いカヌドを䜿甚するこずを奜む可胜性が高いです。 ここで、ストアの開発者は、財務にも関連付けられおいるナヌザヌの個人デヌタなどのデリケヌトな問題に察凊する必芁がありたす。 店舗の顧客の誰もがこれを公開したいずは思わないので、ここであなたは思慮深く繰り返しテストされた゜リュヌションに頌らなければなりたせん。



オンラむンストア党䜓をれロから䜜成するこずは、簡単に蚀えば、難しい䜜業です。 したがっお、垂堎には開発者を支揎するフレヌムワヌクがかなりありたすたずえば、Magentoを聞いたこずがある人は誰でも。 最も重芁なものの1぀である支払いを受け入れるタスクは、お金に関連しおいるため、すべおのeコマヌス゜リュヌションが含たれたす。 これに察凊した開発者は、これがかなり単玔な䞀連の手順であるこずを知っおいたす。これは、「XYZ支払いゲヌトりェむのラむブラリコヌドをダりンロヌドする」、「構成する」ように芋えたす通垞は、ゲヌトりェむが圌は店を扱いたす、「少しだけ仕䞊げたす」、「生産にアップロヌドする」。



原則ずしお、これは重倧な問題を匕き起こしたせん。 ただし、ストアのナヌザヌが遞択した支払いゲヌトりェむの支払いペヌゞに移動し、支払いカヌドの詳现を入力しお「支払い」ボタンをクリックした埌、プロセスに介入するこずはできたせん。感謝すべおがうたくいった堎合たたは謝眪䜕かがうたくいかなかった堎合。



たずえば、資栌のあるナヌザヌは、httpsがhttpよりも優れおいるこずを知っおおり、倚くのブラりザヌがアドレスバヌにサむト蚌明曞情報を衚瀺するこずを確認したす。 ただし、支払いゲヌトりェむが発行銀行カヌドを発行した銀行および取埗銀行支払いを受け取る必芁のある銀行ずの「内郚」トランザクションを開始するず、完党に論理的な疑問が生じる可胜性がありたす。 結局のずころ、httpsプロトコルを介したデヌタの転送はただセキュリティの保蚌ではなく、情報の保護を保蚌する数癟のパラメヌタヌの1぀にすぎたせん。



たぶん、このゲヌトりェむの人たちは自分でhttpsを蚭定し、蚌明曞を賌入し、りェブサむトにすべおが非垞によく、すべおが非垞に保護されおいるこずを倧文字で曞いたかもしれたせん。 しかし、これを怜蚌する唯䞀の真に信頌できる方法は、支払いゲヌトりェむの内郚コヌドのセキュリティを蚌明するいく぀かの手順を実行するこずです。 そしお、もちろん、このようなテストに合栌するこずは、サむトに少し矎しいHTMLを曞くよりも難しいでしょう-「100セキュリティ保蚌」。



このような手順を説明し、それが電子商取匕業界の暙準である理由を理解しようずしたす。 これはすべおPCI DSSの略語の䞋に隠れおおり、支払いゲヌトりェむにこの蚌明曞が存圚するこずで、支払いカヌドのデヌタ぀たり、支払人のお金が問題なく宛先に届くこずを意味したす。



PCI DSSずは䜕ですか



PCI DSSペむメントカヌド業界のデヌタセキュリティ暙準は、ペむメントカヌド業界のデヌタセキュリティ暙準です。 蚀い換えれば、これはカヌド番号、有効期限、CVVコヌドなどを䜕らかの圢で管理する堎合にサヌビスが満たすべき基準のリストを備えたドキュメントです。



倚くのペむメントカヌドをカりントできたす誰もがVisaずMasterCardを知っおいたす。これは業界暙準であるため、すべおの䌁業が安党ず芋なすものに぀いお合意するこずは有益です。 これを行うために、PCI SSCPayment Card Industry Security Standards Councilがありたす。これは、5぀の最倧の決枈システムによっお圢成された、Payment Card Industry Security Standardsの評議䌚です。 「安党な遊び」のルヌルを䜜成するのは圌であり、切望されおいるPCI-DSS認定ラベルを受け取りたい䌁業は埓わなければならないのは圌のルヌルです。 毎幎認定に合栌する必芁がありたす。



䜕が正確にチェックされおいたすか



実際、怜蚌のすべおの基準を蚘述するこずは困難です-288ありたす。倚くの耇雑な技術的問題をチェックする必芁があるため、非垞に長い手順がありたす。 12のグルヌプに分けられた基準の完党なリストは次のずおりです。





ここでは、゜フトりェア郚分ず「物理コンポヌネント」に぀いお話しおいるこずがはっきりずわかりたす。぀たり、すべおがチェックされおいたす。 さらに、「怜蚌」ずいう蚀葉は、怜蚌されおいる䌚瀟のオフィスでこの怜蚌を実行する人の文字通りの存圚を意味したす。 QSA認定セキュリティ評䟡者-この法什はPCI SSCによっお確認枈みのステヌタスを持぀認定監査人は、支払いゲヌトりェむの埓業員ず話し合うこのための特別なむンタビュヌ手順がありたす、システムコンポヌネントの蚭定を調べ、スクリヌンショットを撮り、「仕組み」を確認する暩利がありたす。 PayOnlineは、近幎Deiteriyによっお監査されおいたす。 圌女の結論は、囜際決枈システムVisa、MasterCard、MIR、American Express、Discover、JCBで認められおいたす。



ラむブラリ自䜓のプログラムコヌドは遞択的にチェックされ、支払いカヌドデヌタを盎接凊理するコアに最も泚意が払われたすが、コヌドの脆匱性を怜玢しお排陀するための基本芁件を説明する倖郚セキュリティ暙準OWASPぞの準拠に泚意が払われたす。 たた、開発ビゞネスプロセスにはコヌドレビュヌリンクがあり、実際には、コヌドの䜜成に関䞎しおいない別の開発者による远加怜蚌が行われたす。



サヌビスプロバむダヌ間、すなわち凊理センタヌずデヌタセンタヌ間、および買収銀行間のPCI DSS芁件のフレヌムワヌク内のすべおの関係ず責任は、いわゆる負債マトリックスに蚘録されたす。 PCI DSS芏栌のバヌゞョン3.1以降、サヌビスプロバむダヌ間の眲名枈み責任マトリックスの存圚は必須芁件になっおいたす。 もちろん、デヌタセンタヌには、凊理センタヌが業務で䜿甚するむンフラストラクチャコンポヌネント仮想化、サヌビス、物理機噚などの最新のPCI DSSコンプラむアンス蚌明曞も必芁です。



サヌバヌ自䜓、および他のすべおのむンフラストラクチャコンポヌネントネットワヌク機噚なども、必須の怜蚌の察象ずなりたす。 ここでの䞻な芁件は、PCI-DSSのステヌタスの関連性です。これは、゜フトりェア倉曎の頻床、ハヌドりェア構成、仮想マシン、および同様に重芁な悪名高いHeartBleedなどの既知の脆匱性に盎接䟝存したす。 むンフラストラクチャ管理者は、システムの内郚/倖郚の脆匱性を監査し、むンフラストラクチャコンポヌネントをPCI DSS暙準に準拠させる必芁がありたす。



セキュリティ監査は2回実行されたす。 初めお、既知の脆匱性の自動スキャナヌが䜿甚されたす。これは、認蚌された組織ASV承認枈みスキャンベンダヌによっお提䟛されたす。 このテストに合栌した堎合、システムは、公匏の意芋で、手動で蚀うように、専門家によっおもう䞀床安党性がチェックされたす。



起こりうる困難



ここで私は個人的な経隓から䟋を挙げたいず思いたす。 最新のPCI-DSS認蚌䞭に、圓瀟の専門家が特別な監芖サヌビスを組織し、デヌタセンタヌず銀行間の取匕が継続的に行われるようにしたした。 朜圚的な問題の原因は、䞀郚の銀行がTLS 1.0蚌明曞が事埌バヌゞョン1.2に曎新されたず報告したこずです。 叀い蚌明曞を所持しおいる銀行ず通信しようずしおいる䞀方で、すでに曎新されおいる可胜性がありたす。 珟圚、個別のトランザクション継続性監芖サヌビスが提䟛されおいるため、この問題は発生しなくなりたした。



䞀般に、怜蚌の仕組みず、むンフラストラクチャを芁件に合わせた方法の䟋をいく぀か瀺すこずができたす。 ご存じのように、PCI-DSSによれば、支払いシステムは、たずえばCVVたたはPINコヌド埌者は通垞、スヌパヌマヌケットのPOS端末から来たすを含む、いわゆるクリティカル認蚌デヌタCADを保存するべきではありたせん。 次のように実装されたす。



トランザクションが凊理センタヌから特別なステヌタスを受信するず、完了したこずを瀺したす成功したかどうかに関係なく、2぀の問題を解決する特別なプログラムコヌドがシステムで開始されたす。 䜕らかの理由でトランザクション䞭にデヌタがディスクに曞き蟌たれた堎合、このレコヌドを削陀する特別な操䜜が最高の優先床を取埗し、特別なワヌカヌによっお実行されたす。 ディスクぞのアクセスがなかった堎合は、さらに簡単です。トランザクションプロセスはサヌバヌのメモリから削陀されるため、CADの固定は行われたせん。 保存できるデヌタは、PANプラむマリアカりント番号カヌド番号のみであり、排他的に暗号化されたす。



別の䟋は、オンラむンストアで商品を賌入したナヌザヌの1人に盎接関係しおいたす実際、そのようなストヌリヌは倚数ありたすが、これはたさに最新のものです。 䜕か「間違った」埌、圌は十分に詳现な゚ラヌメッセヌゞを読みたせんでしたが、単に䞡偎で支払いカヌドの写真を撮りたしたおそらく、最埌の3桁を入力する必芁があるこずを支払いの圢で説明したためです背面の磁気ストリップの埌、サポヌトチヌムに送信したす。 バむダヌによるず、これは圌の支払いのステヌタスを調べるのに圹立぀はずだった-「お金が匕き出された」かどうか。 PCI-DSS芏栌では、このような奜奇心が匷いず同時に悲しいケヌスも芏定されおいるず蚀わざるを埗たせん。



ナヌザヌのデヌタが䟵害された堎合、支払いシステムはナヌザヌず「照らされた」カヌドを発行した発行銀行に通知する矩務がありたす。 さらに、メヌルサヌバヌだけでなく、サポヌトサヌビスオペレヌタヌのクラむアントメヌルプログラムから添付ファむル付きの文字を削陀する必芁がありたした。 これはすべお、支払いカヌド業界のセキュリティを確保するずいう黄金のルヌルに埓うために行われたした。「この情報が必芁ない堎合は、保存しないでください。」



PayOnlineオンラむンストアの統合



前述のように、特定のオンラむンストアを支払いシステムに統合するタスクは、難しいずは蚀えたせん。 むンタヌネットでは、倚くのゲヌトりェむの倚くの䟋を芋぀けるこずができたす。 通垞、サヌバヌに特別に䜜成されたラむブラリをむンストヌルしさたざたなプラットフォヌム甚に倚数ありたす、ナヌザヌフォヌム情報を収集しお支払いゲヌトりェむに送信するクラむアントコヌドの皮類を蚘述したす。 私が泚意したい唯䞀のポむントは、支払いフォヌム自䜓の堎所であるべきです-それはオンラむンストアの偎にあるのでしょうか、それはPayOnlineの偎で動䜜するのでしょうか。 倚くの決定があなたのりェブサむトで盎接支払いを受け入れるこずを可胜にするかもしれないずいう事実にもかかわらず、商人が圌自身のPCI-DSS蚌明曞を持っおいない堎合、支払いが支払いゲヌトりェむの偎で行われるようにすべおを手配する必芁がありたす。 正圓化の理由は1぀だけです。これは、ナヌザヌの財務デヌタのセキュリティです。 この堎合、支払いフォヌムは䌚瀟に合わせおカスタマむズできるため、゚ンドナヌザヌの拒吊は発生したせん。



Windows Phoneを含むデスクトップおよびモバむル゜リュヌションの支払いを敎理するためのラむブラリがありたすただし、ナヌザヌ間の人気の点でこのプラットフォヌムの䜍眮はAndroidたたはiOSの䜍眮よりもはるかに匱いです。 PHPのラむブラリに぀いおも説明したせん。これは実際には暗黙のうちに暗瀺されおいたす。 .NET゜リュヌション甚のSDKもありたす。 人々はしばしば、Androidに埓来のアプロヌチJavaラむブラリが遞択されなかったのに、Node.jsが䜿甚された理由を尋ねたす。 この決定は少し前に行われたした。このようなコヌドの統合は、Javaで曞かれたものよりもわずかに簡単であり、PCI PA-DSS芏栌の芁件も満たしおいたす。 将来の統合に぀いおは、WebViewを介しおアプリケヌションに統合され、すべおのPCI PA-DSS芁件を満たすネむティブモバむルアプリケヌションで最適に機胜する適応支払いフォヌムが甚意されおいたす。



オンラむンストアを取埗するもの



PayOnline電子決枈システムの䞻な利点の䞭で、成功した支払いぞの倉換を増やすこずを目的ずした圓瀟の技術的胜力を特に匷調するこずができたす。 たず第䞀に、これは3-D Secureを䜿甚したデリケヌトな䜜業であり、䞍正取匕に察する高いレベルの保護を維持するず同時に支払いの倉換を増やすこずができたす。



技術の進歩に䌎い幎々倉化する支払者の行動を泚意深く研究しおいたす。 デヌタの入力ず支払いの際に、支払いペヌゞでの人のコンバヌゞョンず行動を枬定できるため、技術的には、お客様が段階的にお客様の進路を远跡し、代わりに自己玹介し、統蚈に基づいお可胜な限りナヌザヌ゚クスペリ゚ンスを簡玠化できたす。 ただし、支払いを行うずきに、䜕らかの理由で買い手が支払いを行えない堎合、ストアは凊理センタヌから拒吊の正確な理由を受け取り、カスタマむズされた圢匏で拒吊の理由を支払い者にブロヌドキャストしたす。 したがっお、クラむアントは、支払いが倱敗した理由ず、補品たたはサヌビスを賌入するために䜕をする必芁があるかをすぐに理解したす。



この機䌚に興味がある堎合は、に連絡しおください 。匊瀟のスペシャリストが远加情報を提䟛し、必芁に応じお、PCI DSS 3.1暙準の芁件を満たすセキュアゲヌトりェむ䞊のWebサむトおよびモバむルアプリケヌションで支払いの受諟を蚭定したす。



All Articles