Мы стали все чаще платить онлайн, ведь это не просто удобно, но и безопасно, особенно в сложившейся ситуации. Но насколько безопасно доверять свои персональные данные интернет-магазинам? Каким стандартам они должны соответствовать и какие риски существуют, изданию ICTNEWS.uz рассказал Евгений Бабицкий, QSA (Qualified Security Assessor) компании Compliance Control Ltd.
Всем ли интернет-магазинам необходимо соответствовать стандарту? Кто несет ответственность за персональные данные пользователя? Нужно ли владельцу интернет-магазина задумываться о соответствии своего предприятия требованиям стандарта безопасности PCI DSS?
Формально требования стандарта PCI DSS обязаны соблюдать все интернет-магазины. Для этого Международные платежные системы (МПС) ввели уровни, которые делят интернет-магазины на категории исходя из используемых механизмов приема платежей и объема транзакций. В рамках этих уровней к интернет-магазинам предъявляются разные требования стандарта.
Владельцам интернет-магазинов в любом случае рекомендуется задумываться о безопасности и соблюдении требований стандарта, т.к., во-первых, это защита своего бизнеса от информационных рисков и финансовых потерь, а во-вторых, это возможность гибко настраивать порядок приема платежей на собственном сайте.
Если ваш сайт напрямую не принимает оплату при помощи платежных карт, а использует отправку счетов в стороннюю платежную систему, то таким образом Вы можете снять с себя большую часть ответственности за обеспечение безопасности карточных данных клиентов. Но могут возникнуть вопросы обеспечения безопасности персональных данных клиентов. Обращайте внимание на надежность подобных партнеров и привлекайте квалифицированных юристов при оформлении договорных отношений.
Что в плане безопасности обеспечивает сертификат? Как пользователю узнать есть ли у интернет-магазина сертификат? Какие угрозы могут нести интернет-магазины, не прошедшие сертификацию?
Соответствие стандарту – это гарантия, что компания заботится о безопасности данных собственных клиентов, соблюдая минимально-необходимые требования по обеспечению информационной безопасности. Это доверие. Конечно это не значит, что если у магазина нет действующий сертификации, то нельзя там делать покупки, но оценивать собственные риски конечно же стоит.
Единой базы компаний, прошедших сертификацию, не существует. Некоторые компании предоставляют специальные цифровые сертификаты, которые дают понять, что магазин успешно завершил сертификацию. Конечно, бывают случаи недобросовестного использования подобных документов и попытка их подделки, но такие случаи довольно редки.
Если крупный интернет-магазины работает без подтвержденного сертификата соответствия, то клиент рискует, что его данные, включая карточные, могут оказаться в открытом доступе, что в свою очередь может повлечь финансовые потери и различное мошенничество.
Какие типичные ошибки выявляются при аудите компаний? Какие дыры обнаруживаются?
Не существует универсального перечня проблем. Каждый интернет-магазин по-своему уникален, поэтому и перечень несоответствий у каждого свой. Чаще всего несоответствия связаны с отсутствием документированных процессов и программно-аппаратных средств обеспечения безопасности.
Как разрабатываются и развиваются cстандарты для защиты новых платежных каналов?
Стандарты семейства PCI разрабатываются специальным Советом — Payment Card Industry Security Standards Council (PCI SSC). Это некоммерческая организация, основанная более 15 лет назад 5-тью платежными брендами – VISA, Mastercard, American Express, JCB и Dinners Club.
Сотрудники Совета PCI SSC регулярно обновляют стандарты, выпускают лучшие практики и делают много другой полезной работы для развития PCI-стандартов.
Как PCI обеспечивает безопасность в случае бесконтактных платежей при том, что количество мобильных устройств постоянно растет?
Стандарт PCI DSS – это набор лучших практик. Используемый подход к обеспечению безопасности данных будет универсален и в случае бесконтактных платежей. Главное обеспечить сохранность платежной информации клиента на всем пути при совершении оплаты.
С точки зрения безопасности подобных технологий, то Совет PCI SSC развивает отдельные стандарты, которые касаются безопасности сами терминалов, которые принимают оплаты, включая прием бесконтактных платежей на мобильных устройствах.
Риски безопасности лежат в области социальной инженерии, краж карточек и совершения транзакций за чужой счет. Т.к. например бесконтактные операции на небольшие суммы чаще всего нельзя отозвать или оспорить.
Какие проблемы в плане ИБ наблюдаются при онлайн-платежах? И можно ли от них избавиться навсегда?
Факторы риска при онлайн-платежах конечно же отличаются от oффлайн-платежей, так как используются совершенно разные механизмы. Продавец не видит кто ему платит, поэтому и меры предосторожности должны быть другие. Злоумышленники, которые работают в онлайн-каналах, используют технические уязвимости на сайтах, социальную инженерию на клиентов и сотрудников интернет-магазинов, а также другие уловки, которые работают только в режиме онлайн.
Как показывает история и прогнозы, избавиться от рисков раз и навсегда будет невозможно, такова природа человека. Наша основная задача – это минимизация наших собственных рисков, как со стороны магазина, так и со стороны покупателя.
Как обеспечивается безопасность данных в облаке? Насколько вообще безопасно облачное хранение? Есть ли уязвимости?
Тема обеспечения безопасности данных в облаках не утихает до сих пор, хотя к использованию тех или облачных сервисов мы уже привыкли.
В случае полноценного использования облачных сервисов появляется такое понятие, как разделение ответственности. Т.е. часть ответственности по обеспечению защиты данных вы перекладываете (или точнее разделяете) на своего партнера, который оказывает вам облачные сервисы. И на первый план выходят репутация и качество работы облачного провайдера.
Обеспечение безопасности в облаке может быть даже более эффективным, так как сотрудники провайдера вполне могут обладать более глубоким опытом в обеспечении безопасности данных, чем ваша собственная команда – они ведь имеют возможность работать с десятками или даже сотнями клиентов, получая всесторонний опыт в различных ситуациях.
Что такое онлайн-скиминг и как он работает? Какие рекомендации по предотвращению возникновения этой формы атаки вы бы посоветовали интернет-торговцам?
Это относительно новый способ мошенничества и сложный для обнаружения. Суть атаки в том, что на сайт вашего магазина через уязвимость в ПО сайта внедряется программный код, которые начинает перехватывать критичные пользовательские данные. Например, когда клиент вводит карточные данные для оплаты покупки. Обнаружить подобную «закладку» на вашем сайте без специальных технических проверок крайне сложно.
Именно поэтому выстраивание процессов обеспечения безопасности крайне важно. В данном случае важно устанавливать все необходимые обновления безопасности для используемого программного обеспечения и CMS, а также контролировать процесс внесения изменений на сайт.