PD
Но требования ЦБ - строже, чем PCI DSS.
Size: a a a
2021 June 24
PD
Вообще в PCI DSS - чем дороже аудитор, тем проще (и бесполезнее) прохождение аудита.
D
спасибо!
пока прочитал https://ru.pcisecuritystandards.org/_onelink_/pcisecurity/en2ru/minisite/en/docs/PCI_DSS_v3-2-1_RU.pdf, часть "описание требований"
пока прочитал https://ru.pcisecuritystandards.org/_onelink_/pcisecurity/en2ru/minisite/en/docs/PCI_DSS_v3-2-1_RU.pdf, часть "описание требований"
D
а что за защита от админов ?
PD
Требуется, чтобы никто не имел доступа к данным карт, включая DBA или опсов.
PD
Т.е. нужно шифровать или через HSM или делать собственные системы хранения PANов под схемой Шамира или еще что придумывать.
D
вот с таким не сталкивался, буду читать) круто, спасибо большое
PD
Ну и всякие прочие мелочи, типа гарантировать, что CVC удаляется из памяти после конца операции (даже зашифрованный).
PD
Из оргвещей - любое изменение внутри контура PCI DSS должно сопровождаться security audit.
Если в контур попадает вся система - то вы попали (ну или берите аудитора подороже)
Если в контур попадает вся система - то вы попали (ну или берите аудитора подороже)
PD
Ну и сканирование стоит сделать самому.
D
блин)) тут даже не понятно что у гугла спрашивать
PD
И имеет смысл купить "предаудит", это не очень дорого, но сильно упрощает прохождение аудита.
D
а как сделать автоплатежи, какой то слепок отдельный от карты хранится ?
PD
Это ты про что?
D
если без сивиси
PD
CVC вообще хранить на дисках нельзя. Никак нельзя. В памяти можно. Я даже защитил хранение в редисе в шифрованном виде (но только inmem).
Автоплатежи - зависит от эквайера, иногда достаточно RRN прикопать для повтора. Но вообще тему автоплатежей нужно согласовывать с эквайером, это от него зависит в первую очередь, по идее там и CVC не достаточно, пользователя все равно на 3DS пошлют (и вряд ли вам хочется отказываться от 3DS и брать все риски фрода на себя)
Автоплатежи - зависит от эквайера, иногда достаточно RRN прикопать для повтора. Но вообще тему автоплатежей нужно согласовывать с эквайером, это от него зависит в первую очередь, по идее там и CVC не достаточно, пользователя все равно на 3DS пошлют (и вряд ли вам хочется отказываться от 3DS и брать все риски фрода на себя)
PD
У тебя платежка или магазин? Что защищаем-то?
D
я пока узнаю про все. но вообще нужно выпустить свою брендированую банковскую карту. я узнал, что есть общий шлюз для работы с банками. теперь выясняю, что я могу без гемороя хранить у себя, а что не могу.
D
фактически нужны личные кабинеты с данными транзакций по карте
PD
Эээ, если выпускаете банковскую карту, то есть конкретный банк, который ее выпускает для вас. И ваша задача - интегрироваться с этим банком и уже они вам все расскажут. По идее даже транзакции по карте - вы будете получать от них.
Если банк хороший, то вам ничего у себя хранить не нужно будет и даже PCI DSS не нужен.
Если банк хороший, то вам ничего у себя хранить не нужно будет и даже PCI DSS не нужен.