|
|
|
| В последнее время потери в сфере оборота банковских платежных карточек в России неуклонно растут. В первом полугодии 2011 г. рост составил порядка 70% относительно первой половины 2010 г. О ситуации в сфере оборота банковских платежных карточек в России рассказывает эксперт Николай Пятиизбянцев. |
|
|
|
| Если компания действительно хочет отследить и предотвратить инсайдерские атаки, особенно связанные с кражей интеллектуальной собственности, то её могут предупредить определённые тревожные сигналы – как при приёме на должность, так и во время работы. |
|
|
|
| Существуют проблемы безопасности в финансовых системах, которые можно эксплуатировать совершенно легально. Одна такая проблема кроется в способе округления сумм.
|
 |
Где расположена ваша информационная инфраструктура?
|
 |
|
|
Главная  Путь к Соответствию PCI DSS |
Из всех данных о держателе карты как минимум PAN должен быть представлен в нечитаемом виде во всех местах хранения (включая данные на съемных носителях, резервных копиях и журналах протоколирования событий, а также данные, получаемые по беспроводным сетям). Для этого следует использовать любой из следующих методов:
- стойкая однонаправленная хэш-функция;
- укорачивание (truncation);
- использование механизмов One-Time-Pad («одноразовые блокноты») и использование и хранение ссылок на данные вместо самих данных (index tokens);
- стойкие криптографические алгоритмы совместно с процессами и процедурами управления ключами.
Из всей информации о держателе карты как минимум PAN должен быть преобразован в нечитаемый вид.
Недостатки в защите PAN позволяют злоумышленникам просматривать или сохранять эти данные. Номера PAN, хранящиеся в первичных ЗУ (в базах данных или файлах, представляющих собой электронные таблицы текстовых файлов), наряду с хранящимися не в первичных (резервные копии, записи аудита, журналы исключений или поиска и устранения неисправностей) должны быть защищены. Ущерб от кражи или потери резервных копий во время перемещения может быть уменьшен посредством обеспечения PAN нечитаемым видом через шифрование, укорачивание или хэширование. Так как журналы протоколирования событий сохраняются, обнаружения данных можно избежать, сделав PAN нечитаемым (или удалив, или замаскировав его). Изучите Глоссарий PCI DSS и PA-DSS терминов, аббревиатур и сокращений для просмотра полного определения термина «стойкие криптографические алгоритмы».
Однонаправленные хэш-функции (такие как SHA-1), базирующиеся на стойких криптографических алгоритмах, могут использоваться для представления данных о держателях карт в нечитаемом виде. Хэш-функции подходят в том случае, когда нет необходимости восстанавливать изначальное число (однонаправленные хэш-функции необратимы).
Суть укорачивания состоит в том, что хранится только некоторая часть номера PAN (не больше чем первые шесть и последние четыре цифры). Этот метод отличается от маскировки, при которой хранится весь PAN, но маскируется при выводе (то есть только часть PAN выводится на экран, печатается на квитанциях и в отчетах и т.п.).
Хранение ссылок на данные вместо самих данных и использование «одноразовых блокнотов» также может применяться для отображения данных о держателях карт в нечитаемом виде. Index token - криптографический прием замены PAN определенным «маркером» (ключом) на неизвестное значение.
Механизм One-Time-Pad («одноразовый блокнот») – система, в которой приватный ключ генерируется случайным образом и используется для однократного шифрования сообщения, которое потом дешифруется при использовании совпадающих «одноразового блокнота» и ключа.
Суть стойких криптографических алгоритмов (см. определение и длину ключей в Глоссарии PCI DSS и PA-DSS терминов, аббревиатур и сокращений) состоит в том, что данное шифрование должно базироваться на уже проверенных и принятых на производстве алгоритмах (не на собственных или «самодельных» алгоритмах).
|
|
|
|
3 февраля 2012
Алина Оприско
