Сегодня тема безопасности, пожалуй, самая актуальная в современном ИТ-сообществе. Все мы так или иначе покупаем или продаем в Интернете. Мы вводим свои личные данные, в том числе данные наших карт, совершая большое количество транзакций. Мы все хотим быть уверены, что наши данные в безопасности и обрабатываются должным образом.
ASV сканирование – это уникальная и совершенная автоматизированная проверка всех точек подключения информационной инфраструктуры к Интернету на имеющиеся уязвимости.
Поэтому крупнейшие платежные системы разработали PCI DSS. Это мировой стандарт безопасности обработки платежей и личных данных. Компании, попадающие в список обработки данных, обязаны проводить сканирование ASV ежеквартально. Это высокоуровневый тест, который помогает находить уязвимости в архитектурах ИТ-технологий этих компаний.
Статистика за 2019 год показывает, что только в США официально зарегистрировано более 650 тысяч случаев кражи личных данных. Подавляющее большинство этих краж - это данные личных банковских карт. При этом, если злоумышленники получают доступ к банковским картам и номерам CVC2 или CVV, то вина лежит на компании, обработавшей эти данные. Именно для таких случаев проводится сканирование ASV, и ответственные за это компании обязаны проводить его регулярно, чтобы избежать подобных инцидентов.
Сканирование ASV представляет собой процедуру, которая проводится ежеквартально. Для этого прямо со всех точек подключения к сети выполняется проверка на уязвимости. Эта проверка соответствует всем стандартам PCI DSS и применяется ко всем предприятиям, имеющих дело с информацией о держателях банковских платежных карт.
Существует международный стандарт классификации, основанный на объеме сделок. Компании классифицируют на 4 уровня, и в зависимости от объема сделок, процедура сканирования может отличаться.
Описание уровней будет идти от самого большого (4) до наименьшего (1). Этот принцип можно объяснить тем, что на 4-й уровень приходится меньший объем транзакций в год, а на первый - более шести миллионов.
Программа PCI ASV была разработана для поиска угроз, которые могут повлиять на безопасность платежной системы, и гарантирует, что все провайдеры PCI ASV имеют квалификацию.
Используя сканирование PCI ASV, вы поддерживаете мониторинг сети на предмет безопасности и сохраняете соответствие стандартам PCI DSS.
PCI DSS - это общепринятый стандарт безопасности информации в сфере интернет-платежей. Протокол разработан PCI SSC - специальным советом по стандартам безопасности интернет-банкинга. Установленные нормы определяют требования по необходимым мерам безопасности в области хранения и обработки данных банковских карт международных платежных систем.
Согласно авторитетным источникам, у различных международных платежных систем варьируются требования, предъявляемые, например, онлайн-магазинам, к процессу проверки соответствия стандартам. Эти разные этапы подтверждения различаются для организаций. На список требований влияет в первую очередь число обрабатываемых транзакций. В рамках проверки используют следующие методы:
Также стоит отметить, что люди, отвечающие за сканирование ASV, несут большую ответственность. Они оставляют за собой обязательство гарантировать, что их решение по результатам сканирования поддерживается с точки зрения безопасности. Кроме того, это никоим образом не повлияет на оптимальную производительность среды сканирования.
Как правило, ASV-провайдеры предлагают услуги сканирования ASV в двух вариантах:
В случаях, когда программы-вымогатели могут сильно повлиять на безопасность данных держателей карт, рекомендуется провести тестирование с помощью методов социальной инженерии. Также можно рассмотреть случаи, когда кража учетных данных с помощью фишинга может привести к серьезному нарушению безопасности.
Облачные вычисления - это общий термин, используемый для удаленной аренды ряда вычислительных ресурсов. Такой подход избавляет от необходимости запускать физическое оборудование и управлять им на месте, позволяя предприятиям легко и недорого масштабировать свою инфраструктуру.
Облачные вычисления обладают множеством преимуществ: от экономии затрат до повышения производительности и снижения выбросов углекислого газа.
Экономия затрат. Облако для малого бизнеса может значительно снизить затраты, поскольку отпадает требование владения, эксплуатации и обслуживания локальных серверов и инфраструктуры, и предприятия платят провайдерам облачных услуг только за те ресурсы, которые им действительно необходимы.
Безопасность. Провайдеры облачных услуг и операторы центров обработки данных, среди которых на российском рынке особо выделяется ЦОД Xelent, уделяют огромное внимание безопасности во всех предлагаемых ими услугах и решениях. Их меры безопасности будут значительно более совершенными и надежными, чем типичная внутренняя система, которую традиционно использует бизнес. Данные, хранящиеся в ЦОД и перемещающиеся по облачным сетям, зашифрованы, что значительно затрудняет доступ посторонних лиц.
Гибкость. Облачные вычисления повышают гибкость бизнеса и упрощают сотрудничество между людьми в рамках бизнеса, где бы они ни находились. Доступность каждого документа, файла и приложения по запросу в облачной среде устраняет традиционные барьеры, такие как необходимость совместной работы всех в одном централизованном месте.
Масштабируемость. Облако для бизнеса обеспечивают непревзойденную масштабируемость за счет дополнительного места для хранения, вычислительной мощности и виртуальных ресурсов, когда это необходимо бизнесу. Поскольку компании платят только за те ресурсы, которые им действительно нужны, они могут быстро, легко и экономично масштабировать или уменьшать масштаб.
Аварийное восстановление. Компании обращаются к решениям для аварийного восстановления, чтобы предотвратить простои и потери критически важных данных и приложений. Облачные вычисления обеспечивают более простое и экономичное восстановление после сбоев за счет эффективного зеркалирования хранимых данных на разных серверах.
Переход в облако дает множество преимуществ, особенно когда предприятия принимают все меры для успешной миграции в облако. Для большинства предприятий переход обычно означает сокращение эксплуатационных расходов, более быструю модернизацию и повышение безопасности.
Однако перед осуществлением процесса миграции следует ознакомиться с проблемами, которые часто сопровождают миграцию в облако.
Планирование. Для крупномасштабных миграций требуется тщательное планирование в масштабах всей организации. Первым шагом к успешной миграции является разработка стратегии - это достигается путем анализа и идентификации, а также включения ключевых заинтересованных сторон для определения требований, потребностей и целей.
Стоимость - время, деньги и ресурсы. Несмотря на то, что миграция в облако улучшает краткосрочную и долгосрочную рентабельность инвестиций, определение стоимости может быть не только трудным, но и недооцененным. Оценка затрат имеет важное значение, однако важно признать, что стоимость может измениться - не только денежные затраты, но также затраты времени и ресурсов. Когда речь идет о времени или о «простоях бизнеса», требуется тщательное планирование. Хотя перемещение больших объемов данных может быть выполнено относительно быстро, в надежде минимизировать время простоя необходимо разработать конкретную стратегию - в конечном итоге это поможет перемещать более управляемые объемы данных.
Безопасность. При переходе в облако (полностью или частично) важно понимать:
Другими словами, не предполагайте, что ваш облачный провайдер позаботится о безопасности, даже несмотря на соответствие всем стандартам безопасности, как в случае с крупнейшем дата-центром Xelent. То же самое относится и к соответствию: вы, а не провайдер облачных услуг, всегда несете ответственность за соблюдение GDPR.
В числе проблем, которые необходимо решить заранее для миграции рабочей нагрузки: