Корпорация NCR, один из ведущих производителей систем самообслуживания стала первым производителем банкоматов, прошедшим сертификацию
Сертифицируемый продукт APTRATM Advance NDC 3.04 позволяет использовать одно и то же приложение на оборудовании разных производителей, снабжен готовыми функциями для выполнения множества типов транзакций и платформой для быстрого внедрения новой функциональности и уже сейчас обрабатывает транзакции в более чем 150 000 банкоматах, которыми пользуются более 2 000 финансовых организаций, что делает его одной из самых популярных платформ для систем самообслуживания в мире.
Прохождение сертификации
Информзащита является первой российской компанией, получившей право проводить аудит платежных приложений на соответствие требованиям стандарта
Организация Open Web Application Security Project выложила в свободный доступ на своем сайте новую версию списка десяти наиболее актуальных угроз безопасности web-приложений.
Предварительная версия 2009 года включает в себя следующие угрозы:
- A1 Injection
- A2 Cross Site Scripting
- A3 Broken Authentication and Session Management
- A4 Insecure Direct Object References
- A5 Cross Site Request Forgery
- A6 Security Misconfiguration
- A7 Failure to Restrict URL Access
- A8 Unvalidated Redirects and Forwards
- A9 Insecure Cryptographic Storage
- A10 Insufficient Transport Layer Protection
Таким образом 2-а пункта:
- Malicious file execution
- Information leakage and improper error handling
- Security misconfiguration (этот пункт уже присутствовал в OWASP top ten 2004, но был убран из версии 2007 года)
- Unvalidated redirects and forwards
Согласно стандарту PCI DSS версии 1.2 требования 6.5, предъявляемые к разработке web-приложений, необходимо оценивать основываясь в первую очередь на актуальную версию OWASP top 10. (The vulnerabilities listed at 6.5.1 through 6.5.10 were current in the OWASP guide when this version of PCI DSS was published. However, if and when the OWASP guide is updated, the current version must be used for these requirements).
Компания Diebold представила решение ValiTech — технологию двухфакторной идентификации с использованием
Организация Open Web Application Security Project в рамках конференции AppSec DC 2009, проводимой с 10 по 13 ноября в Вашингтоне, анонсирует новую версию OWASP Top 10 2009.
На суд участников будет представлена уже 3-я по счету версия «горячей десятки» недостатков безопасности web-приложений. Отличительной особенностью нового издания по заверениям авторов является ориентирование на риски для web-приложений, а не конкретные уязвимости.
На конференции будет представлен черновик OWASP top 10 2009, окончательный релиз ожидается в начале 2010 года.
Согласно стандарту PCI DSS версии 1.2 требования 6.5, предъявляемые к разработке web-приложений, необходимо оценивать основываясь в первую очередь на актуальную версию OWASP top 10. (The vulnerabilities listed at 6.5.1 through 6.5.10 were current in the OWASP guide when this version of PCI DSS was published. However, if and when the OWASP guide is updated, the current version must be used for these requirements)
На саммите Visa, посвященном вопросам безопасности в платежной индустрии, Элен Ричи (Ellen Richey), глава отдела рисков в Visa Inc., сказала следующее: “Как мы все знаем, компания получила сертификат соответствия стандартам PCI. Однако Heartland уделила недостаточно внимания поддержанию процессов соответствия требованиям стандарта, что и послужило причиной возникновения уязвимостей. На данный момент Visa приняла решение удалить Heartland из своего списка компаний, соответствующих требованиям стандарта PCI.”
После первого объявления в новостях об утечке многие недоумевали: “Мы думали, что у них есть сертификат соответствия стандарту PCI DSS. Как же могла произойти утечка, если все данные были защищены?”.
