Совет PCI на своем официальном сайте опубликовал пояснения касательно хранения проверочных значений (CVV2, CVC2, CID, CAV2) платежных карт в аудиозаписях.
В частности, консул еще раз обозначил, что хранение проверочных значений является прямым нарушением требования 3.2.2. В связи с этим запрещается использовать любые формы цифровых аудиозаписей (wav, mp3 и т.д.) для хранения проверочных значений, так как эти данные могут быть без труда извлечены с использованием свободно доступного программного обеспечения.
Также необходимо убедиться, что архивы аудиозаписей не содержат в себе проверочных значений, и при необходимости произвести их удаление.
Исключением могут служить аудиозаписи в аналоговом формате в связи со сложностью извлечения данных, но при этом к таким записям необходимо применять все требования стандарта по физической защите и ограничению логического доступа.
Ряд производителей предоставляет коммерческие программно-аппаратные решения аудиозаписи, предотвращающие хранение или производящие удаление кодов CAV2, CVC2, CVV2 или CID и прочих данных платежных карт. Все прочие записи, содержащие данные платежных карт, которые были получены в ходе работы call-центров, должны быть защищены в соответствии со стандартом PCI DSS, включая требование 3.4.
Шпаргалка по соблюдению требований стандарта касаемо беспроводных сетей.
Корпорация NCR, один из ведущих производителей систем самообслуживания стала первым производителем банкоматов, прошедшим сертификацию
Сертифицируемый продукт APTRATM Advance NDC 3.04 позволяет использовать одно и то же приложение на оборудовании разных производителей, снабжен готовыми функциями для выполнения множества типов транзакций и платформой для быстрого внедрения новой функциональности и уже сейчас обрабатывает транзакции в более чем 150 000 банкоматах, которыми пользуются более 2 000 финансовых организаций, что делает его одной из самых популярных платформ для систем самообслуживания в мире.
Прохождение сертификации
Информзащита является первой российской компанией, получившей право проводить аудит платежных приложений на соответствие требованиям стандарта
Организация Open Web Application Security Project выложила в свободный доступ на своем сайте новую версию списка десяти наиболее актуальных угроз безопасности web-приложений.
Предварительная версия 2009 года включает в себя следующие угрозы:
- A1 Injection
- A2 Cross Site Scripting
- A3 Broken Authentication and Session Management
- A4 Insecure Direct Object References
- A5 Cross Site Request Forgery
- A6 Security Misconfiguration
- A7 Failure to Restrict URL Access
- A8 Unvalidated Redirects and Forwards
- A9 Insecure Cryptographic Storage
- A10 Insufficient Transport Layer Protection
Таким образом 2-а пункта:
- Malicious file execution
- Information leakage and improper error handling
- Security misconfiguration (этот пункт уже присутствовал в OWASP top ten 2004, но был убран из версии 2007 года)
- Unvalidated redirects and forwards
Согласно стандарту PCI DSS версии 1.2 требования 6.5, предъявляемые к разработке web-приложений, необходимо оценивать основываясь в первую очередь на актуальную версию OWASP top 10. (The vulnerabilities listed at 6.5.1 through 6.5.10 were current in the OWASP guide when this version of PCI DSS was published. However, if and when the OWASP guide is updated, the current version must be used for these requirements).
