PA-DSS: Практика. Типовые задачи и способы их решения.

Февраль 12, 2021

Главная
Разное
PA-DSS: Практика. Типовые задачи и способы их решения.

Содержание

2. Процесс сертификации Проверка процесса разработки и внесения изменений Лабораторные испытания Проверка исходного кода
3. Как долго процесс сертификации идет? Недолго, так как разработчики оказались в высокой степени готовности благодаря достаточно
4. Анализ исходного кода Разработчик обоснованно не желает передавать исходный код на сторону для анализа
5. Решение Организация безопасного удаленного просмотра кода Локальная проверка кода разработчиком (заранее оговоренными специализированными инструментами) и отправка
6. Хранение номеров платежных карт Номера платежных карт хранятся в журнале транзакций в незашифрованном виде (требование 2.3)
7. Решение Так как в данном конкретном случае: журнал транзакций находится в файловой системе ОС Hypercom (Nucleos
8. Нестандартная схема идентификации Приложение не поддерживает подход авторизации пользователей по идентификаторам/паролям (требование 3.1)
9. Решение Так как возможности пользователей и администратора ограничены лишь операциями, не дающими доступ к данным платежных
10. Отсутствие требуемого функционала Пароли хранятся в открытом виде Двухфакторная аутентификация при удаленном доступе не реализована
11. Решение Доработка кода
14. Скачать презентацию

Слайд 2

Процесс сертификации
Проверка процесса разработки и внесения изменений
Лабораторные испытания
Проверка исходного кода

Процесс сертификации Проверка процесса разработки и внесения изменений Лабораторные испытания Проверка исходного кода

Слайд 3

Как долго процесс сертификации идет?
Недолго, так как разработчики оказались в высокой степени

Как долго процесс сертификации идет? Недолго, так как разработчики оказались в высокой

готовности благодаря достаточно зрелому процессу разработки и внесения изменений в ПО

Слайд 4

Анализ исходного кода
Разработчик обоснованно не желает передавать исходный код на сторону для

Анализ исходного кода Разработчик обоснованно не желает передавать исходный код на сторону для анализа

анализа

Слайд 5

Решение
Организация безопасного удаленного просмотра кода
Локальная проверка кода разработчиком (заранее оговоренными специализированными инструментами)

Решение Организация безопасного удаленного просмотра кода Локальная проверка кода разработчиком (заранее оговоренными

и отправка логов аудитору

Слайд 6

Хранение номеров платежных карт
Номера платежных карт хранятся в журнале транзакций в незашифрованном

Хранение номеров платежных карт Номера платежных карт хранятся в журнале транзакций в незашифрованном виде (требование 2.3)

виде (требование 2.3)

Слайд 7

Решение
Так как в данном конкретном случае:
журнал транзакций находится в файловой системе ОС

Решение Так как в данном конкретном случае: журнал транзакций находится в файловой

Hypercom (Nucleos OS);
для каждого приложения, устанавливаемого на POS-терминал через Application Manager, создается каталог с правами доступа только этому приложению;
интерфейса командной строки в Application Manager нет. Доступ к каталогу ПО и следовательно к журналу транзакций получить не возможно,
то требование к журналу транзакций признано не применимым

Слайд 8

Нестандартная схема идентификации
Приложение не поддерживает подход авторизации пользователей по идентификаторам/паролям (требование 3.1)

Нестандартная схема идентификации Приложение не поддерживает подход авторизации пользователей по идентификаторам/паролям (требование 3.1)

Слайд 9

Решение
Так как возможности пользователей и администратора ограничены лишь операциями, не дающими доступ

Решение Так как возможности пользователей и администратора ограничены лишь операциями, не дающими

к данным платежных карт (не представляющими риск безопасности), то требование было признано не применимым в данном конкретном случае

Слайд 10

Отсутствие требуемого функционала
Пароли хранятся в открытом виде
Двухфакторная аутентификация при удаленном доступе не

Отсутствие требуемого функционала Пароли хранятся в открытом виде Двухфакторная аутентификация при удаленном доступе не реализована

реализована

Слайд 11

Решение
Доработка кода

Решение Доработка кода

Слайд 12