Size: a a a

DevSecOps - русскоговорящее сообщество

2019 December 17

GG

George Gaál in DevSecOps - русскоговорящее сообщество
)
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
St
В некоторых моментах можно притянуть за уши доказательство)
Вот они этим и занимаются, если они прогрессивные. А если нет, то вам пизда на сертификации. Потратите кучу времени и нервов на этот театр
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Кстати ISO в этом плане дружелюбнее. Видимо потому, что если будут сильно выеживаться, никто их услугами пользоваться не будет
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
PCI в этом плане может жестить, ибо нет сертификации? Хуй тебе а не доступ в платежную систему
источник

NR

Nikita Remezov in DevSecOps - русскоговорящее сообщество
George Gaál
типа "бля буду все ок" - не верят?
Нет. Скриншоты, логи, тикеты надо часть предоставлять
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
да не вопрос ) пускай смотрят
источник

NR

Nikita Remezov in DevSecOps - русскоговорящее сообщество
pci dss исторически появился на волне карточного интернет фрода - когда оказалось что мерчантам все равно на безопасность и они (в основной своей массе) не способны обеспечить. А медиа и клиенты начали слегка паниковать
источник

NR

Nikita Remezov in DevSecOps - русскоговорящее сообщество
Виза и мастер решили взяться за дело, сделали как смогли - в среднем стало лучше
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
просто выглядит так, что чтобы с этим не заморачиваться - засовываешь все что можешь в контур. А вся обвязка в виде клиентского приложения - пускай болтается снаружи
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
чуть что - прокидываем данные внутрь и не ломаем себе голову
источник

S

St in DevSecOps - русскоговорящее сообщество
George Gaál
просто выглядит так, что чтобы с этим не заморачиваться - засовываешь все что можешь в контур. А вся обвязка в виде клиентского приложения - пускай болтается снаружи
мне кажется что обеспечить и поддерживать выполнения требования pci для новых сегментов не самая простая задача, поэтому добавлять новые системы в скоуп не думаю, мне кажется плохой идеей
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
George Gaál
просто выглядит так, что чтобы с этим не заморачиваться - засовываешь все что можешь в контур. А вся обвязка в виде клиентского приложения - пускай болтается снаружи
В целом все так и делают. А потом хуяк парни из PCI DSS сходили на RSA Conference и узнали про 2FA. И такие, О, а это мысль. И решили, что весь доступ в контур по 2ФА
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
И ты такой ебаааааать, и начинаешь в обратку все из скоупа вытягивать
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Ну и есть набор методов "Это не те дроиды, которых вы ищете", чтобы съехать с выполнения требований. Если подружитесь с аудитором, он вас научит этой магии
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
St
мне кажется что обеспечить и поддерживать выполнения требования pci для новых сегментов не самая простая задача, поэтому добавлять новые системы в скоуп не думаю, мне кажется плохой идеей
Самое смещное, что PCI DSS этот вопрос никак не обговаривает вообще
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Ну подразумевается, что у вас все процессы на месте, и вы можете вносить в скоуп изменения. Но вот надо ли проходить внеочередную сертификацию... и какой объем изменений считать значительным? Вот тут все зависит от жадности QSA =)
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Два QSA из разных компаний мне дали диаметрально противополжные ответы на этот вопрос
источник

NR

Nikita Remezov in DevSecOps - русскоговорящее сообщество
buggy c0d3r
Ну подразумевается, что у вас все процессы на месте, и вы можете вносить в скоуп изменения. Но вот надо ли проходить внеочередную сертификацию... и какой объем изменений считать значительным? Вот тут все зависит от жадности QSA =)
Аудит раз в год. Пентесты иногда надо делать дополнительные при больших изменениях
источник

NR

Nikita Remezov in DevSecOps - русскоговорящее сообщество
(Это из больших вещей)
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Я уже сказал, два разных QSA из разных в том числе географически компаний мне дали абсолютно противоположные ответы на влопросы об измнениях в скоупе.
источник