http://www.pcidss.ru/blog/ PCI DSS Blog Заметки о стандарте PCI DSS (Payment Card Industry Data Security Standard) http://www.pcidss.ru/blog/232.html http://www.pcidss.ru/blog/232.html Банк "Уралсиб" и MasterСard объявляют о начале выпуска Транспортной карты в Москве и Екатеринбурге

Банк "Уралсиб" и MasterСard начинают выпуск транспортной карты в Москве и Екатеринбурге, сообщает пресс-служба банка.

Транспортной картой можно оплатить проезд в московском метрополитене и все виды общественного транспорта в Екатеринбурге, а также оплачивать товары и услуги, покупки в интернете, совершать коммунальные платежи, снимать наличные и пользоваться многочисленными скидками.

Банк предлагает как дебетовую транспортную карту, так и кредитную с лимитом до 500 тысяч рублей и льготным периодом погашения. Для оформления "кредитки" достаточно предъявить паспорт или любой другой документ, удостоверяющий личность.

"В транспортной карте реализована концепция, объединяющая разные виды платежных инструментов – проездного билета и банковской карты, что дает дополнительные преимущества ее владельцу", - говорит заместитель председателя правления банка Илья Филатов.

По его словам, карта позволит значительно сэкономить время и средства держателям карт, используя удобство безналичной оплаты проезда.

В свою очередь глава российского MasterCard Илья Рябый напоминает, что "Уралсиб" и MasterCard связывает многолетнее плодотворное партнерство.

"Мы предлагаем свои технологии и создаем все более удобные возможности для держателей карт, чтобы ежедневные задачи решались проще и быстрее, и транспортная карта - одно из таких решений", - отмечает Рябый.



Автор Алина Оприско
Комментарии к заметке
Тэги: mastercard | банки

]]> Алина Оприско http://www.pcidss.ru/blog/230.html http://www.pcidss.ru/blog/230.html Дистанционный съём информации с RFID-карточки: ничего сложного

На хакерской конференции Shmoocon, которая прошла в Вашингтоне в минувший уикенд (27-29 января) известный специалист по безопасности Кристин Пейджет (Kristin Paget) из компании Recursion Ventures провела демонстрацию дистанционного считывания конфиденциальной информации с банковской карты, оснащённой радиочипом RFID. Вообще-то, об уязвимости бесконтактных карточек говорят уже лет пять, но нынешняя демонстрация показала, что надёжной защиты безопасности до сих пор не появилось. Для считывания информации с карт использовалось недорогое оборудование совокупной стоимостью в пару сотен долларов.

Для дистанционного считывания номера карты, срока действия и одноразового номера CVV использовался кард-ридер Vivotech, который можно купить на eBay за $50. Далее, с помощью намагничивающего устройства стоимостью $300 эти данные можно записать на чистую карту.

Во время демонстрации Пейджет пригласила на сцену добровольца, который не вынимал из кармана кошелёк с карточкой. Считывание данных и намагничивание новой карточки заняло пару минут, после чего Пейджет достала iPhone с модулем Square, который позволяет принимать платежи, и перевела $15 на свой счёт, используя только что сделанный клон карточки. Чтобы ни у кого не оставалось сомнений в правдивости фокуса, Пейджет показала номер клонированной карточки на большом экране со сцены.

Бесконтактные карточки появились в обращении относительно недавно, и платёжные системы широко рекламируют их как удобное средство платежа. По данным Smart Card Association, сейчас в обращении находится около 100 млн таких карт. Соответствующая технология у компании Visa называется payWave, у MasterCard — PayPass, у Discover — Zip, а у American Express — ExpressPay. Все они одинаково уязвимы для съёма данных.

В данном случае хакерский RFID кард-ридер ничем не отличается от легального терминала торговой точки. Самое сложное в такой атаке — приблизить кард-ридер на максимально близкое расстояние к кошельку с карточкой. На практике это можно сделать в переполненном транспорте или в очереди, спрятав устройство в кармане и «случайно» столкнувшись с владельцем карты. В принципе, физический контакт даже необязателен, достаточно максимально близко приблизиться к жертве.

Данный тип атаки — не какая-то дыра в безопасности, а фундаментальный изъян платёжной системы, которую специально сделали максимально простой в использовании. В нынешней версии технологии RFID-карты не передают беспроводным способом имя пользователя, PIN-код и трёхзначный постоянный CVV. Представители платёжных систем говорят, что за шесть лет не задокументировано ни единого случая подобного рода мошенничества, что является доказательством достаточной защиты для такого рода атак, где злоумышленнику трудно сохранить свою анонимность.

В самом деле, использование одноразового CVV делает возможным проведение только одной транзакции с клонированной карточки, а при попытке второй транзакции она будет заблокирована.

По мнению Пейджет, это означает только то, что злоумышленнику нужно посетить оживлённое место, где за один вечер можно набрать множество «одноразовых» карт. По словам специалиста, они в компании Recursion Ventures сейчас работают над созданием специального бумажника Guardbunny с RFID-детектором, который будет сигнализировать о попытке сканирования — глаза у кролика на бумажнике начинают светиться и он издаёт громкие звуки. Кроме того, в бумажнике будет проактивная защита против сканирования вместо малоэффективных алюминиевой прокладки, которую сейчас вшивают в кошельки и которая не спасает от мощного сканера.



Автор Алина Оприско
Комментарии к заметке
Тэги: mastercard | visa | исследования

]]> Алина Оприско http://www.pcidss.ru/blog/211.html http://www.pcidss.ru/blog/211.html Банки и эмитенты кредитных карт развивают EMV-технологии

EMV – стандарт, созданный Europay, MasterCard и Visa для платёжных чиповых карт с кредитно-дебетовыми приложениями, широко используется в Европе и других странах по всему миру.

Кредитные карты, которые содержат встроенный микропроцессор, в настоящее время гораздо более безопасны, чем любая другая форма кредитных карт, в том числе и стандартные карты с магнитной полосой, информацию с которых слишком легко украсть в банкоматах и терминалах.

Сейчас крупнейшие банки и ритейлеры стремятся сделать EMV новым стандартом в США.

Visa недавно объявила о планах расширить свою программу инновационных технологий в США, которые будут стимулировать ритейлеров поддерживать карты с микрочипами.

Между тем, Citi объявили о выпуске собственной корпоративной Citi Chip и PIN-карты, которая предназначена для держателей карт США, выезжающих за границу. Банк Америки сделал аналогичное заявление о расширении технологии кредитных карт, направленных на международных путешественников.

Также Wells Fargo уже тестирует EMV-карты в США со своей Visa Smart Card, которая включает в себя традиционную магнитную полосу, а также микропроцессор, для того чтобы сделать карту универсальной и работающей во всем мире. Пилотная программа Wells Fargo включает в себя 15 000 клиентов, которые регулярно совершают поездки.

Благодаря всем этим крупным игрокам удалось добиться значительного внедрения EMV-технологий. Полное принятие новейших технологий уже кажется неизбежным, теперь это только вопрос времени.

EMV-технологии являются более безопасными, а также работают лучше, чем карты с магнитной полосой.

Источник: http://www.infosecisland.com/blogview/18810-Banks-and-Credit-Card-Issuers-Move-Toward-Chip-and-PIN.html



Автор Алина Оприско
Комментарии к заметке
Тэги: mastercard | visa | банки

]]> Алина Оприско http://www.pcidss.ru/blog/164.html http://www.pcidss.ru/blog/164.html Сбой системы в Credit Union MasterCard раскрыл персональную информацию клиентов
У Оливии Эванс возникли проблемы при входе в свой аккаунт и, после повторного набора пароля она увидела историю счета другого человека.

"Я смотрела на информацию о чужой кредитной карте" – говорит Оливия Эванс, - "Я была в шоке!".

Она повторила свои действия шаг за шагом только для того, чтобы убедиться в том, что увиденная на экране информация была действительно о другом клиенте. На этот раз она увидела личную и конфиденциальную информацию другого человека. Эта информация включала ежегодную заработную плату, номер телефона, домашний и рабочий адрес. Третья попытка привела к раскрытию конфиденциальной информации третьего счета.

Затем Оливия Эванс связалась со службой поддержки MasterCard, где ей сообщили, что произошел сбой системы, и эту проблему пытаются решить специалисты. MasterCard говорит, что проблема заключается в Credit Union. "Похоже, произошла проблема с сайтом Credit Union" - говорит Тони Марачиело, директор по коммуникациям и связям с государственными органами компании MasterCard, - "MasterCard не хранит никакой персональной информации о держателях карт".

Канадский банк MBNA говорит, что возникшие проблемы, повлияли на владельцев карт Credit Union. "Некоторые держатели карт получили сообщение об ошибке при попытке войти на сайт онлайн-банкинга" - говорит Кэти Веласкес, старший вице-президент по связям с общественностью MNBA, - "Если клиенты затем нажимали кнопку «назад», они получали доступ к учетной записи другого клиента".

Веласкес говорит, что, как только об этой ситуации стало известно, интернет-банкинг сразу же был отключен, чтобы определить, что послужило причиной возникшей проблемы и специалисты приступили к исправлению ситуации. "Мы внимательно следим за счетами карт Credit Union и не нашли никаких доказательств нарушений по этим счетам" - сказала Веласкес. - "Мы приносим извинения за неудобства, принесенные нашим клиентам".

Источник: http://www.globalsaskatoon.com/credit+union+mastercard+%E2%80%9Cglitch%E2%80%9D+reveals+personal+information/6442481997/story.html



Автор Александра Голик
Комментарии к заметке
Тэги: инцидент | утечка данных | mastercard | ДБО | банки

]]> Александра Голик http://www.pcidss.ru/blog/67.html http://www.pcidss.ru/blog/67.html Почему стандарты PCI существуют?

В связи с резким ростом количества статей и докладов о стандарте PCI DSS и доводах считать его бесполезным, я решил, что следует рассказать о том, почему разрабатывались стандарты PCI.

В 1999 Visa USA начала работать над программой обеспечения безопасности данных о клиенте (Customer Information Security Program, CISP). Первая официальная версия CISP была выпущена летом 2003 года с указанием Visa как можно скорее определить мерчантов, соответствующих требованиям CISP. Первоначальный импульс для CISP был обусловлен увеличением платежей, которые были результатом незаконного использования счетов кредитных карт. Анализ этих платежей выявил, что сотрудники торгово-сервисных предприятий стали все чаще использовать доступ к POS-терминалам и системам обработки учетных данных для получения номеров кредитных карт и их последующего использования в мошеннических целях.

В то время как развитие CISP прогрессировало, Visa USA также стала замечать, что количество случаев компрометации данных на сайтах электронной коммерции (e-Commerce) возросло, а информация о кредитных картах, хранящаяся в базе, утекает к злоумышленнику и используется в мошеннических целях. Причина оказалась в том, что разработчики приложений использовали такую же модель разработки ПО для e-Commerce как и для POS. В результате оказалось, что данные о держателях карт хранились в базах данных в сети Интернет.

По прошествии приблизительно года работы Visa USA, MasterCard International начал разработку стандарта защиты данных веб-сайтов (Site Data Protection standard, SDP). В отличие от CISP, в SDP внимание было сфокусировано на обеспечении безопасности веб-сайтов электронной коммерции. MasterCard следил за быстрыми темпами роста мошенничества, связанного с компрометацией данных на сайтах электронной коммерции, и его анализ, как и анализ Visa USA, выявил, что большинство интернет-сайтов e-Commerce, хранящих данные о держателях карт в БД, были недостаточно хорошо защищены. В результате для решения данной проблемы MasterCard разработал SDP-стандарт, устанавливающий базисный уровень информационной и сетевой безопасности для веб-сайтов электронной коммерции.

Работа над CISP двигалась вперед, были получены дополнительные статистические данные по вопросам безопасности, и Visa USA начала понимать, что именно приложения онлайн платежей являются самой главной проблемой, служащей причиной компрометации данных о держателях карт. Как результат, Visa USA разработала стандарт сертификации платежных приложений (Payment Application Best Practices, PABP), который был опубликован в конце 2004 года и настоятельно рекомендован к использованию производителями программного обеспечения в качестве критерия защищенности их ПО.

Существует мнение, что стандарты PCI были разработаны лишь для того, чтобы минимизировать потери МПС и банков, а для мерчантов не представляют никакой пользы. Однако PCI стандарты были призваны защитить каждое звено в процессе транзакции. Когда происходит нарушение, первое что запоминают люди — это платежный бренд, затем, скорее всего, мерчанта или поставщика услуг, далее франчайзи, если он есть. МПС, поставщики услуг и франчайзеры поняли, что рискуют своей репутацией, не смотря на то, что проблему, в общем-то, зачастую создавали франчайзи мерчанты. Независимо от того, с чьей стороны было произведено нарушение, как правило, бренды международных платежных систем претерпевали самый сильный удар по репутации. Как следствие, МПС пришли к твердому решению защищать свое имя и репутацию.

Недавно также было высказано мнение о том, что стандарт PCI DSS не нужен, потому что рыночные предприятия будут сами решать вопросы безопасности при проведении транзакций. Однако, во-первых, проблема состоит в том, что большинство мерчантов и поставщиков услуг не уверены в том, что они несут ответственность за обеспечение безопасности данных о держателях карт даже после того, как они могли подвергнуться нарушениям. Они считают, что обеспечение безопасности ДДК — проблема международных платежных систем, поскольку МПС генерируют платежные карты. К сожалению, безопасность ДДК не может контролироваться МПС, поэтому мерчанты и поставщики услуг также должны нести ответственность. Во-вторых, проблема заключается в том, что базовых требований безопасности нет. У каждой организации свое мнение на этот счет, и разный взгляд и отношение к угрозам безопасности. В результате в некоторых организациях обеспечивается высокая защита данных о держателях карт (например, в банках), а в других — низкая. Низкая защищенность некоторых звеньев системы ставит под угрозу обеспечение безопасности ДДК во всей системе — в этом заключается проблема такого подхода. Как следствие, в мире, где все взаимосвязано, организации с высоким уровнем безопасности находятся под угрозой, если они являются партнерами тех организаций, в которых этот уровень низкий. Следствием этого явилось признание МПС того, что необходим единый стандарт для обеспечения прочной основы платежной безопасности.

Мы надеемся, что с этой точки зрения можно понять, почему стандарты существуют и используются для обеспечения необходимой безопасности ДДК.

Автор: PCIGuru

Оригинал заметки: http://pciguru.wordpress.com/2010/07/03/why-the-pci-standards-exist/



Автор Максим Екимовский
Комментарии к заметке
Тэги: mastercard | стандарт | visa

]]> Максим Екимовский http://www.pcidss.ru/blog/58.html http://www.pcidss.ru/blog/58.html Эксперты Сообщества PCIDSS.RU примут участие в PCI SSC Community Meeting

В период с 18 по 20 октября состоится европейская сессия международного мероприятия PCI Security Standards Council Community Meeting-Barcelona, проводимого Советом PCI SSC. Сообществу экспертов по безопасности индустрии платежных карт будут представлены обновленные версии стандартов PCI DSS и PA-DSS.

Помимо нововведений, которые коснутся требований стандартов, в рамках конференции между представителями Совета PCI SSC, международных платежных систем, а также QSA и ASV компаний состоятся тематические беседы, в ходе которых будут обсуждаться актуальные вопросы, относящиеся к процедуре аудита, определению области аудита и применимости требований стандартов.

Эксперты Сообщества PCIDSS.RU примут активное участие в данном мероприятии с целью выхода на новый уровень взаимодействия с регуляторами отрасли и получения информации из первых рук.

Все интересующие вас вопросы, которые бы вы хотели задать Совету PCI SSC, представителям международных платежных систем, либо которые, по вашему мнению, требуют обсуждения в широком международном кругу экспертов по безопасности платежной отрасли, вы можете оставить в комментариях к этой заметке, либо прислать нам по адресу info@pcidss.ru. Отобранные нашими экспертами вопросы будут вынесены на обсуждение в рамках планируемого мероприятия.



Автор Сергей Шустиков
Комментарии к заметке
Тэги: mastercard | конференция | стандарт | pci ssc | visa | pa-dss

]]> Сергей Шустиков http://www.pcidss.ru/blog/6.html http://www.pcidss.ru/blog/6.html MasterCard ужесточает правила Отныне торгово-сервисным предприятиям, относящимся к уровню 2, для подтверждения соответствия требованиям стандарта PCI DSS следует один раз в год вызывать QSA-аудиторов. Таковы новые правила программы безопасности Site Data Protection (SDP) международной платежной системы MasterCard.

Ранее торгово-сервисным предприятиям второго уровня для подтверждения соответствия требовалось только ежегодная самооценка с заполнением опросного листа (SAQ).

Программа безопасности Site Data Protection международной платежной системы MasterCard направлена на повышение защищенности информационных систем организаций, так или иначе принимающих участие в обработке данных о держателях платежных карт. Основой программы является обязательное выполнение организациями требований стандарта PCI DSS и регулярное подтверждение статуса соответствия стандарту.



Автор Юлия Зозуля
Комментарии к заметке
Тэги: аудит | mastercard

]]> Юлия Зозуля