приложений
Москва, 25.03.2010
- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
PA-DSS: Практика. Типовые задачи и способы их решения. презентация
Содержание
- 1. PA-DSS: Практика. Типовые задачи и способы их решения.
- 2. Процесс сертификации Проверка процесса разработки и внесения изменений Лабораторные испытания Проверка исходного кода
- 3. Как долго процесс сертификации идет? Недолго, так
- 4. Анализ исходного кода Разработчик обоснованно не желает передавать исходный код на сторону для анализа
- 5. Решение Организация безопасного удаленного просмотра кода Локальная
- 6. Хранение номеров платежных карт Номера платежных карт
- 7. Решение Так как в данном конкретном случае:
- 8. Нестандартная схема идентификации Приложение не поддерживает подход авторизации пользователей по идентификаторам/паролям (требование 3.1)
- 9. Решение Так как возможности пользователей и администратора
- 10. Отсутствие требуемого функционала Пароли хранятся в открытом виде Двухфакторная аутентификация при удаленном доступе не реализована
- 11. Решение Доработка кода
- 13. Стандарт PA-DSS: безопасность платежных приложений
Процесс сертификации Проверка процесса разработки и внесения изменений Лабораторные испытания Проверка исходного кода
Слайд 1PA-DSS: Практика. Типовые задачи и способы их решения.
Стандарт PA-DSS: безопасность платежных
Слайд 2Процесс сертификации
Проверка процесса разработки и внесения изменений
Лабораторные испытания
Проверка исходного кода
Слайд 3Как долго процесс сертификации идет?
Недолго, так как разработчики оказались в высокой
степени готовности благодаря достаточно зрелому процессу разработки и внесения изменений в ПО
Слайд 4Анализ исходного кода
Разработчик обоснованно не желает передавать исходный код на сторону
для анализа
Слайд 5Решение
Организация безопасного удаленного просмотра кода
Локальная проверка кода разработчиком (заранее оговоренными специализированными
инструментами) и отправка логов аудитору
Слайд 6Хранение номеров платежных карт
Номера платежных карт хранятся в журнале транзакций в
незашифрованном виде (требование 2.3)
Слайд 7Решение
Так как в данном конкретном случае:
журнал транзакций находится в файловой системе
ОС Hypercom (Nucleos OS);
для каждого приложения, устанавливаемого на POS-терминал через Application Manager, создается каталог с правами доступа только этому приложению;
интерфейса командной строки в Application Manager нет. Доступ к каталогу ПО и следовательно к журналу транзакций получить не возможно,
то требование к журналу транзакций признано не применимым
для каждого приложения, устанавливаемого на POS-терминал через Application Manager, создается каталог с правами доступа только этому приложению;
интерфейса командной строки в Application Manager нет. Доступ к каталогу ПО и следовательно к журналу транзакций получить не возможно,
то требование к журналу транзакций признано не применимым
Слайд 8Нестандартная схема идентификации
Приложение не поддерживает подход авторизации пользователей по идентификаторам/паролям (требование
3.1)
Слайд 9Решение
Так как возможности пользователей и администратора ограничены лишь операциями, не дающими
доступ к данным платежных карт (не представляющими риск безопасности), то требование было признано не применимым в данном конкретном случае
Слайд 10Отсутствие требуемого функционала
Пароли хранятся в открытом виде
Двухфакторная аутентификация при удаленном доступе
не реализована
