Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
1
Владимир Кузнецов Старший аудитор PA-DSS: Практика. Типовые задачи и способы их решения. Стандарт PA-DSS: безопасность платежных приложений Москва,
2
Процесс сертификации Проверка процесса разработки и внесения изменений Лабораторные испытания Проверка исходного кода
3
Как долго процесс сертификации идет? Недолго, так как разработчики оказались в высокой степени готовности благодаря достаточно зрелому процессу разработки и внесения изменений в ПО
4
Анализ исходного кода Разработчик обоснованно не желает передавать исходный код на сторону для анализа
5
Решение Организация безопасного удаленного просмотра кода Локальная проверка кода разработчиком (заранее оговоренными специализированными инструментами) и отправка логов аудитору
6
Хранение номеров платежных карт Номера платежных карт хранятся в журнале транзакций в незашифрованном виде (требование 2.3)
7
Решение Так как в данном конкретном случае: журнал транзакций находится в файловой системе ОС Hypercom (Nucleos OS); для каждого приложения, устанавливаемого на POS-терминал через Application Manager, создается каталог с правами доступа только этому приложению; интерфейса командной строки в Application Manager нет. Доступ к каталогу ПО и следовательно к журналу транзакций получить не возможно, то требование к журналу транзакций признано не применимым
8
Нестандартная схема идентификации Приложение не поддерживает подход авторизации пользователей по идентификаторам/паролям (требование 3.1)
9
Решение Так как возможности пользователей и администратора ограничены лишь операциями, не дающими доступ к данным платежных карт (не представляющими риск безопасности), то требование было признано не применимым в данном конкретном случае
10
Отсутствие требуемого функционала Пароли хранятся в открытом виде Двухфакторная аутентификация при удаленном доступе не реализована
11
Решение Доработка кода
13
Кузнецов Владимир Старший аудитор (495) доб. 248 Стандарт PA-DSS: безопасность платежных приложений
Еще похожие презентации в нашем архиве:
