Корпорация NCR, один из ведущих производителей систем самообслуживания стала первым производителем банкоматов, прошедшим сертификацию PA-DSS.

Сертифицируемый продукт APTRATM Advance NDC 3.04 позволяет использовать одно и то же приложение на оборудовании разных производителей, снабжен готовыми функциями для выполнения множества типов транзакций и платформой для быстрого внедрения новой функциональности и уже сейчас обрабатывает транзакции в более чем 150 000 банкоматах, которыми пользуются более 2 000 финансовых организаций, что делает его одной из самых популярных платформ для систем самообслуживания в мире.

Прохождение сертификации PA-DSS в первую очередь говорит о заинтересованности NCR в обеспечении безопасности своих клиентов и заботе о партнерах, которым предстоит проходить сертификацию по стандарту PCI DSS.

PA-DSS (Payment Application Data Security Standard) — стандарт безопасности платежных приложений, направленный на поддержку выполнения требований стандарта PCI DSS. По требованиям международных платежных систем все тиражируемые приложения, участвующие в обработке транзакций авторизации или проведения расчетов по пластиковым картам (authorization или clearing/settlement), должны быть сертифицированы по стандарту PA-DSS.
Информзащита является первой российской компанией, получившей право проводить аудит платежных приложений на соответствие требованиям стандарта PA-DSS.

Источник

Организация Open Web Application Security Project выложила в свободный доступ на своем сайте новую версию списка десяти наиболее актуальных угроз безопасности web-приложений.

Предварительная версия 2009 года включает в себя следующие угрозы:

• A1 Injection
• A2 Cross Site Scripting
• A3 Broken Authentication and Session Management
• A4 Insecure Direct Object References
• A5 Cross Site Request Forgery
• A6 Security Misconfiguration
• A7 Failure to Restrict URL Access
• A8 Unvalidated Redirects and Forwards
• A9 Insecure Cryptographic Storage
• A10 Insufficient Transport Layer Protection

Таким образом 2-а пункта:

• Malicious file execution
• Information leakage and improper error handling

• Security misconfiguration (этот пункт уже присутствовал в OWASP top ten 2004, но был убран из версии 2007 года)
• Unvalidated redirects and forwards

Согласно стандарту PCI DSS версии 1.2 требования 6.5, предъявляемые к разработке web-приложений, необходимо оценивать основываясь в первую очередь на актуальную версию OWASP top 10. (The vulnerabilities listed at 6.5.1 through 6.5.10 were current in the OWASP guide when this version of PCI DSS was published. However, if and when the OWASP guide is updated, the current version must be used for these requirements).

Скачать OWASP Top10 2010 RC1

Компания Diebold представила решение ValiTech — технологию двухфакторной идентификации с использованием USB-устройств, способных идентифицировать и авторизовать действия технического персонала.