pcisecurity.ruhttp://www.pcisecurity.ru/blog/Информзащитаhttp://www.pcisecurity.ru/_i/blog/logo_ru.gif<link>http://www.pcisecurity.ru/blog/</link></image><atom10:link xmlns:atom10="http://www.w3.org/2005/Atom" rel="self" type="application/rss+xml" href="http://feeds.feedburner.com/pcisecurityru/ssc-news" /><feedburner:info xmlns:feedburner="http://rssnamespace.org/feedburner/ext/1.0" uri="pcisecurityru/ssc-news" /><atom10:link xmlns:atom10="http://www.w3.org/2005/Atom" rel="hub" href="http://pubsubhubbub.appspot.com/" /><item><title>Новости регуляторов PCI / Пересмотр требований к&nbsp;процессу подтверждения соответствия стандартам PCI DSS для VisaNet процессоров http://www.pcisecurity.ru/blog/post/108/ <p>/Revised Implementation of&nbsp;PCI DSS Framework for VisaNet Processors/</p> <p>Visa пересмотрела требования подтверждения соответствия стандартам PCI DSS для VisaNet Processrs&nbsp;&mdash; VNP (процессоров, подключенных напрямую).<br /> Изменения, коснувшиеся Участников региона Visa CEMEA:</p> <a href="http://www.pcisecurity.ru/blog/post/108/"> Статья полностью → </a> Mon, 26 Jul 2010 12:31:13 +0400Новости регуляторов PCI / Переход на трехлетний жизненный цикл пересмотра стандартов. http://www.pcisecurity.ru/blog/post/107/ 22 июня 2010 года PCI SSC объявил о&nbsp;том, что теперь жизненный цикл трех стандартов Payment Card Industry Data Security Standard (PCI DSS), PIN Transaction Security (PTS) и&nbsp;Payment Application Data Security Standard (<nobr>PA-DSS</nobr>) будет составлять три года, начиная с&nbsp;релиза PCI DSS и&nbsp;PA&nbsp;DSS в&nbsp;октябре 2010 года. Прозрачный жизненный цикл всех управляемых Консулом стандартов упростит внедрение процесса в&nbsp;индустрии платежных карт.<br /> <a href="http://www.pcisecurity.ru/blog/post/107/"> Статья полностью → </a> Mon, 28 Jun 2010 16:24:15 +0400Новости регуляторов PCI / Visa обращает внимание эквайеров на платежные приложения, которые хранят критичные данные авторизации http://www.pcisecurity.ru/blog/post/99/ <P>Правила платежной системы Visa, а также Стандарт безопасности данных платежных карт (PCI DSS) запрещают хранение полного трека магнитной полосы карт, проверочный код карты (CVV2) или пин-код.</P> <P>Существует высокий риск компрометации торгово-сервисных предприятий (ТСП) и агентов, используя платежные приложения, которые хранят критичные данные авторизации или имеют слабую защиту таких данных. Очень важно, чтобы эквайеры гарантировали, что их ТСП и агенты не используют таких приложений и/или не сохраняли элементы критичных данных, а также эквайерам необходимо предпринимать необходимые действия по идентификации любых подобных инцидентов.</P> <a href="http://www.pcisecurity.ru/blog/post/99/"> Статья полностью → </a> Tue, 09 Mar 2010 12:55:53 +0300Новости регуляторов PCI / Хранение проверочных значений в аудиозаписях http://www.pcisecurity.ru/blog/post/98/ <p>Совет PCI на своем официальном сайте <a href="http://selfservice.talisma.com/article.aspx?article=5362&p=81">опубликовал</a> пояснения касательно хранения проверочных значений (CVV2, CVC2, CID, CAV2) платежных карт в аудиозаписях.</p> <p>В частности, консул еще раз обозначил, что хранение проверочных значений является прямым нарушением требования 3.2.2. В связи с этим запрещается использовать любые формы цифровых аудиозаписей (wav, mp3 и т.д.) для хранения проверочных значений, так как эти данные могут быть без труда извлечены с использованием свободно доступного программного обеспечения. </p> <p>Также необходимо убедиться, что архивы аудиозаписей не содержат в себе проверочных значений, и при необходимости произвести их удаление. <p>Исключением могут служить аудиозаписи в аналоговом формате в связи со сложностью извлечения данных, но при этом к таким записям необходимо применять все требования стандарта по физической защите и ограничению логического доступа.</p> <p>Ряд производителей предоставляет коммерческие программно-аппаратные решения аудиозаписи, предотвращающие хранение или производящие удаление кодов CAV2, CVC2, CVV2 или CID и прочих данных платежных карт. Все прочие записи, содержащие данные платежных карт, которые были получены в ходе работы call-центров, должны быть защищены в соответствии со стандартом PCI DSS, включая требование 3.4.</p>Wed, 03 Feb 2010 20:12:57 +0300Новости регуляторов PCI / Рекомендации по шифрованию от Visa http://www.pcisecurity.ru/blog/post/90/ <P>Компания Visa опубликовала “best practices” в области шифрования данных (Data Field). Текст содержит ряд рекомендаций по построению надежной системы шифрования данных, включая:</P> <UL> <LI>ограничение передачи открытых данных;</LI> <LI>управление ключевой информацией;</LI> <LI>использование надежных криптоалгоритмов и ключей шифрования;</LI> <LI>защита устройств, используемых для выполнения криптографических операций; </LI> <LI>использование альтернативных идентификаторов счета клиента.</LI></UL> <P>Текст рекомендаций доступен в открытом доступе на <A href="http://usa.visa.com/download/merchants/bulletin_encryption_best_practices_10052009.pdf">сайте Visa</A></P>Fri, 16 Oct 2009 13:40:03 +0400