Кузнецов Практика P A D S S
Click here to load reader
-
Upload
informzaschita -
Category
Documents
-
view
222 -
download
3
Transcript of Кузнецов Практика P A D S S
![Page 1: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/1.jpg)
Владимир Кузнецов
Старший аудитор
PA-DSS: Практика. Типовые задачи и способы их решения.
Стандарт PA-DSS: безопасность платежных приложений
Москва, 25.03.2010
![Page 2: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/2.jpg)
Процесс сертификации
• Проверка процесса разработки и
внесения изменений
• Лабораторные испытания
• Проверка исходного кода
![Page 3: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/3.jpg)
Как долго процесс сертификации идет?
Недолго, так как разработчики оказались в высокой
степени готовности благодаря достаточно зрелому
процессу разработки и внесения изменений в ПО
![Page 4: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/4.jpg)
Анализ исходного кода
Разработчик обоснованно не желает передавать
исходный код на сторону для анализа
![Page 5: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/5.jpg)
Решение
• Организация безопасного удаленного
просмотра кода
• Локальная проверка кода разработчиком
(заранее оговоренными специализированными
инструментами) и отправка логов аудитору
![Page 6: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/6.jpg)
Хранение номеров платежных карт
Номера платежных карт хранятся в журнале
транзакций в незашифрованном виде
(требование 2.3)
![Page 7: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/7.jpg)
Решение
Так как в данном конкретном случае:
• журнал транзакций находится в файловой системе ОС Hypercom (Nucleos
OS);
• для каждого приложения, устанавливаемого на POS-терминал через
Application Manager, создается каталог с правами доступа только этому
приложению;
• интерфейса командной строки в Application Manager нет. Доступ к каталогу
ПО и следовательно к журналу транзакций получить не возможно,
то требование к журналу транзакций признано не
применимым
![Page 8: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/8.jpg)
Нестандартная схема идентификации
Приложение не поддерживает подход
авторизации пользователей по
идентификаторам/паролям (требование 3.1)
![Page 9: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/9.jpg)
Решение
Так как возможности пользователей и администратора
ограничены лишь операциями, не дающими доступ к
данным платежных карт (не представляющими риск
безопасности), то требование было признано не
применимым в данном конкретном случае
![Page 10: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/10.jpg)
Отсутствие требуемого функционала
• Пароли хранятся в открытом виде
• Двухфакторная аутентификация при
удаленном доступе не реализована
![Page 11: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/11.jpg)
Решение
• Доработка кода
![Page 12: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/12.jpg)
![Page 13: Кузнецов Практика P A D S S](https://reader037.fdocument.pub/reader037/viewer/2022100507/559cd5781a28aba8538b45cd/html5/thumbnails/13.jpg)
www.pcisecurity.ru
Кузнецов ВладимирСтарший аудитор
• (495) 980-2345 доб. 248• [email protected]
Стандарт PA-DSS: безопасность платежных приложений