3.4.1.1        Платежное приложение и (или) приложение типа «корзина покупок» собственной разработки или разработанные на заказ

Такие платежные приложения и (или) приложения типа «корзины покупок» разрабатываются ТСП либо самостоятельно, либо сторонним разработчиком, под заказ (в соответствии с техническим заданием ТСП),  в рамках общей разработки веб-сайта  (см. рис. 2 ниже).

3.4.2        Готовые платежные приложения и приложения типа «корзина покупок» под контролем ТСП

Данное решение аналогично предыдущему (т. е. решение собственной разработки или разработанное под заказ),  за исключением того, что платежные функции обеспечивает готовый программный продукт, используемый на веб-сайте ТСП  (платежное приложение). Такие платежные приложения разрабатываются и лицензируются для коммерческого использования. Более подробную информацию о приложениях типа «корзина покупок»  см. выше, в Разделе 3.3.1. ( см. рис. 3 ниже).

3.4.3        Решения ЭТ на частично подрядной основе

Решения ЭТ на частично подрядной основе — это такие решения, в которых ТСП отвечает за часть элементов своей инфраструктуры ЭТ. К примеру, если в рамках решения ЭТ требуется, чтобы на сайт ТСП было встроено или доставлено какое-либо приложение или код, то ТСП будет отвечать за корректные реализацию и обслуживание такого кода; за безопасность сервера, на котором будет находиться код и т. д. Ниже приводятся три типа решения ЭТ с участием сторонних организаций:

НЕ нашли? Не то? Что вы ищете?
Встраиваемые интерфейсы API с использованием Direct Post Встроенные фреймы (iframe) Встроенные страницы оплаты

Область применения PCI DSS: ТСП следует учитывать, что частичная передача решения сторонней организации на подрядной основе не освобождает ТСП от ответственности за соблюдение требований PCI DSS, даже если ТСП вправе заполнять опросные листы для самооценки (ОЛС). При любом из перечисленных решений ЭТ на частично подрядной основе для ТСП остаются риски ИБ, т. к. во время выполнения транзакции уязвимости сайта ТСП могут привести к компрометации ДПК.  Риски, свойственные каждому из таких решений, описаны в пункте «Вопросы безопасности, касающиеся решений ЭТ на частично подрядной основе» на стр. 13. С учетом таких рисков для ДПК и сайта ТСП, даже в решениях на подрядной основе  рекомендуется обеспечить защиту веб-сайта от рисков с помощью соответствующих защитных мер, определенных в стандарте PCI DSS.

3.4.3.1        Встраиваемые интерфейсы API сторонних организаций с использованием Direct Post

Одно из наиболее популярных решений на подрядной основе — использование  интерфейсов API по лицензии, полученной от ПЦ ЭТ. В таких решениях ТСП, используя интерфейс API сторонней организации, размещает на своем сайте веб-приложение, направляющее платежные данные из браузера клиента непосредственно в ПЦ ЭТ. Интерфейсы API позволяют ТСП отправить в браузер клиента код («код для компьютера клиента»), с помощью которого браузер, сразу после заполнения соответствующих полей ДПК, пересылает их прямо в ПЦ ЭТ, минуя инфраструктуру веб-приложения ТСП. ПЦ ЭТ принимает ДПК от клиента и возвращает код подтверждения (идентификатор, токен и т. п.) веб-приложению ТСП. Для завершения транзакции веб-приложение ТСП пересылает код обратно через ПЦ ЭТ, где хранятся аутентификационные данные по данной транзакции, и использует его для завершения авторизации  (см. рис. 4 ниже).

Также возможен вариант, когда ПЦ ЭТ принимает от клиента ДДК и просто сообщает ТСП, успешно ли завершилась операция. Если операция прошла успешно, ТСП может закончить обработку покупки.

3.4.3.2        Встроенные фреймы сторонних организаций

Встроенные фреймы (iframe) позволяют отображать одни веб-страницы внутри других. Они отображают в отдельном секторе содержимое страницы, на которую ссылаются. . Одним из популярных решений ЭТ является прием платежей через встроенную веб-страницу для оплаты, предоставляемую ПЦ ЭТ. Такие веб-страницы могут состоять лишь из нескольких полей, необходимых для осуществления платежа. Веб-приложение ТСП затем встраивает в виде фрейма эту страницу ПЦ таким образом, чтобы она отображалась как часть веб-страницы ТСП.  После ввода данных на странице оплаты, они передаются на сервер приложений ПЦ ЭТ минуя ТСП (см. рис. 5 ниже).

Между ТСП и ПЦ ЭТ, обслуживающим встроенный фрейм, может находиться и сторонняя организация. Так, на сайте ТСП может быть ссылка на страницу сторонней организации, которая предоставляет, например, информацию о товаре на складе; а уже  эта страница содержит встроенный фрейм и отправляет данные в ПЦ ЭТ. В таком случае сайт со встроенным фреймом передает, обрабатывает, и, возможно, хранит ДПК, и безопасность транзакции в этом сценарии зависит от обоих поставщиков услуг. При данном решении, ТСП должно рассматривать обе сторонние организации  — сторона-посредник, на сайте которой встроен фрейм, и ПЦ, предоставляющий этот встроенный фрейм — в качестве своих поставщиков услуг, следовательно, ТСП обязано удостовериться в соответствии этих сторонних организаций требованиям PCI DSS. При работе со всеми сторонними организациями, поддерживающими встроенные фреймы, следует учитывать рекомендации, приведенные в разделе 5.4.

В отношении встроенных фреймов желательно следовать еще и следующим рекомендациям.

Встроенный фрейм необходимо разрабатывать безопасно, чтобы исключить исполнение любого несанкционированного кода внутри этого фрейма. Фреймы не должны показывать диапазоны внутрисетевых адресов. Конфигурация встроенных фреймов должна исключать кликджекинг (размещения поверх веб-страницы невидимых ссылок, которые при нажатии на них запускают вредоносные действия).

3.4.3.3        Встраиваемые веб-страницы сторонних организаций

Решения ЭТ, в которых используются встраиваемые страницы оплаты, являются следующей фазой развития встроенных фреймов (описанных выше). В данном случае, вместо отображения формы оплаты внутри фрейма на веб-странице ТСП, клиент ТСП перенаправляется на страницу оплаты на сайте ПЦ ЭТ, где он и вводит ДПК. После обработки платежа в веб-приложение ТСП отправляется подтверждение ( см. рис. 6 ниже).

3.4.3.4        Вопросы безопасности, касающиеся решений ЭТ на частично подрядной основе

Как упоминалось выше, ни одно из описанных решений на частично подрядной основе не исключает наличие рисков ИБ для ТСП, так как наличие уязвимостей на веб-сайте ТСП может привести к компрометации ДПК во время транзакции.

Использование метода Direct Post через интерфейс API: Используя метод Direct Post через интерфейс API, ТСП не освобождается от ответственности за веб-страницу, предоставляемую клиенту, т. к. поля на странице оплаты находятся в распоряжении ТСП, и поставщику услуг от клиента напрямую отправляются только ДДК. Так как страницы оплаты принадлежат веб-сайту ТСП, они безопасны лишь в той степени, в какой безопасен весь сайт: компрометация системы ТСП может привести к компрометации ДПК. Встроенные фреймы: При реализации встроенных фреймов их конфигурация и управление должны исключать возможность такой модификации, при которой возможна отправка ДДК на иной, несанкционированный источник.

■        Решения со встроенными страницами оплаты: При встроенных страницах оплаты компрометация сервера ТСП может привести к перенаправлению данных, предназначенных для ПЦ ЭТ, тем самым позволяя перехватить их и украсть во время транзакции.

Во избежание подобных сценариев, ТСП, в частности, следует отслеживать изменения в системах и немедленно реагировать, чтобы привести их к состоянию, при котором они были доверенными, т. е. до момента обнаружения несанкционированных изменений. ТСП, реализующие решения на частично подрядной основе с целью снижения количества применимых к ним требований стандарта PCI DSS, должны знать о потенциальных рисках, присущих данным решениям. Для снижения вероятности атаки в данных решениях ТСП должны особо тщательно проверять веб-приложения, чтобы убедиться, что они разработаны безопасно и готовы к серьезному тесту на проникновение.

3.4.4        Решение ЭТ на полностью подрядной основе

Многим ТСП удобнее управлять своей ответственностью за соблюдение требований PCI DSS, передавая все функции хранения, обработки и передачи ДДК сторонним поставщикам услуг хостинга или ПЦ ЭТ на подрядной основе. В таком случае ТСП может использовать решение, реализованное сторонней организацией, установленное на ее стороне и находящееся под ее полным контролем и ответственностью. В состав такого решения может входить приложение ЭТ, а также хостинг серверов и инфраструктуры, предоставляемых сторонней организацией и находящихся в под ее контролем. ТСП предоставляется веб-интерфейс для доступа к сайту сторонней организации, а также для управления интернет-магазином и ведения клиентов.

Область применения PCI DSS: Возможно, в данном сценарии ТСП будет достаточно заполнить «Опросный лист для самооценки А PCI DSS» (ОЛС А). В ОЛС А уменьшено количество применимых требований PCI DSS к ТСП, которые передают ПЦ ЭТ на подрядной основе все функции хранения, обработки и передачи ДДК. Более подробно об ОЛС А рассказано в следующем пункте, «Решения ЭТ на подрядной основе и ОЛС А».

3.4.5        Решения ЭТ на подрядной основе и ОЛС А

Если ТСП имеет право проходить сертификацию PCI DSS путем заполнения ОЛС и передало все функции по хранению, обработке и передаче ДПК на подрядной основе сторонним организациям, соответствующим стандарту PCI DSS (к примеру, в сценарии, описанном в пункте 3.4.4 — где ТСП использует решение ЭТ на полностью подрядной основе), то возможно, ТСП будет вправе использовать ОЛС А, который включает в себя сокращенное количество требований PCI DSS. ТСП следует выяснить у своего эквайера (эквайеров) или представителя МПС конкретные требования, необходимые для соответствия стандарту PCI DSS, а также вопрос о том, вправе ли оно использовать ОЛС в качестве способа подтверждения соответствия.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6