PCI DSS (в части касающейся интернет эквайринга)
Регламентирует требования по обеспечению безопасности платежных систем. Разработан и рекомендован Visa Int. Требования по процессингу MasterCard примерно такие-же. т.е. если выполняете требования Visa, то дело техники по MC, но каждое отдельно
Основные требования из PCI DSS
- Обеспечение физической защиты серверов (системы пожаротушения, охлаждения), специальный шкаф (сейф) к которому имеет доступ ограниченное кол-во персонала. Система видеонаблюдения, журнал посещений, кто входил для каких целей, посторонние только с цветными бейджами, отличными от бэйджей сотрудников и прочее.
- DMZ зоны где фигурируют данные владельца карты. Не должно быть пересечения DMZ зоны с зонами общего пользователя (отдельно должны настраиваться правила доступа к беспроводным сетям)
- Основное требование каждый сервер должен выполнять не более одной роли (БД, ХТТП сервер и т.д.)
- Требования к открытым портам и ПО установленному на серверах, должны запрещены все порты за исключением необходимых, запрещено передавать данные от сервера к серверу по открытым протоколам (ФТП, ХТТП, ТЕЛНЕТ и т.д.), если на сервере установлен какой-либо сервис то должно быть его обоснование почему он стоит, как используется кем и т.д. Доступ к северам только из DMZ зоны желательно по отдельному каналу.
- Настроенные firewall (допускается на отдельном компе по линухом), запрещено все что не разрешено.
- Требования к ПО сервера, должны постоянно обновлятся (не более 30 дней после выхода апдейта, фикса и т.д.)
- Обеспечение сохранности данных и логирования
- 24\7
- ежекватральное сканирование из вне вашей системы (выполняется сертифицированными Visa центрами)
- ежегодный тест на проникновение изнутри системы (тож специальстами)
- переодический тест на проникновение (своими силами)
- реализация Visa 3D secure
Касаемо прохождения PCI DSS, условно состоит из:
- Подгон вашей системы к требованиям PCI DSS (можно нанять сторонную организацию (сертифицированную Visa))
- предаудит может выполнятся той-же организацией, (по результатам предаудита, Visa может дать разрешение на ограниченную эксплуатацию, с условием исправления замечаний)
- исправление замечаний
- аудит
- вы счастливый обладатель
Если что непонятно, то спрашивайте (я не претендую на всезнание, но некоторые моменты смогу пояснить). Если надо, то могу скинуть требовани PCI DSS на русском или можете сами скачать с сайта информзащита.
что касаемо разработки софта, то рекомендованы требования OWASP при разработке. много подводных камней именно в архитектруе ПС и очень много там всяких нюансов
Более того разработанный софт должен пройти проверку на наличие уязвимостей. Сейчас вроде возможна компенсационная мера (дабы не проверять софт) установка Web Application Firewall (но его стоимость и годовая подписка сопоставимы с анализом кода)
Регламентирует требования по обеспечению безопасности платежных систем. Разработан и рекомендован Visa Int. Требования по процессингу MasterCard примерно такие-же. т.е. если выполняете требования Visa, то дело техники по MC, но каждое отдельно
Основные требования из PCI DSS
- Обеспечение физической защиты серверов (системы пожаротушения, охлаждения), специальный шкаф (сейф) к которому имеет доступ ограниченное кол-во персонала. Система видеонаблюдения, журнал посещений, кто входил для каких целей, посторонние только с цветными бейджами, отличными от бэйджей сотрудников и прочее.
- DMZ зоны где фигурируют данные владельца карты. Не должно быть пересечения DMZ зоны с зонами общего пользователя (отдельно должны настраиваться правила доступа к беспроводным сетям)
- Основное требование каждый сервер должен выполнять не более одной роли (БД, ХТТП сервер и т.д.)
- Требования к открытым портам и ПО установленному на серверах, должны запрещены все порты за исключением необходимых, запрещено передавать данные от сервера к серверу по открытым протоколам (ФТП, ХТТП, ТЕЛНЕТ и т.д.), если на сервере установлен какой-либо сервис то должно быть его обоснование почему он стоит, как используется кем и т.д. Доступ к северам только из DMZ зоны желательно по отдельному каналу.
- Настроенные firewall (допускается на отдельном компе по линухом), запрещено все что не разрешено.
- Требования к ПО сервера, должны постоянно обновлятся (не более 30 дней после выхода апдейта, фикса и т.д.)
- Обеспечение сохранности данных и логирования
- 24\7
- ежекватральное сканирование из вне вашей системы (выполняется сертифицированными Visa центрами)
- ежегодный тест на проникновение изнутри системы (тож специальстами)
- переодический тест на проникновение (своими силами)
- реализация Visa 3D secure
Касаемо прохождения PCI DSS, условно состоит из:
- Подгон вашей системы к требованиям PCI DSS (можно нанять сторонную организацию (сертифицированную Visa))
- предаудит может выполнятся той-же организацией, (по результатам предаудита, Visa может дать разрешение на ограниченную эксплуатацию, с условием исправления замечаний)
- исправление замечаний
- аудит
- вы счастливый обладатель
Если что непонятно, то спрашивайте (я не претендую на всезнание, но некоторые моменты смогу пояснить). Если надо, то могу скинуть требовани PCI DSS на русском или можете сами скачать с сайта информзащита.
что касаемо разработки софта, то рекомендованы требования OWASP при разработке. много подводных камней именно в архитектруе ПС и очень много там всяких нюансов
Более того разработанный софт должен пройти проверку на наличие уязвимостей. Сейчас вроде возможна компенсационная мера (дабы не проверять софт) установка Web Application Firewall (но его стоимость и годовая подписка сопоставимы с анализом кода)
