1        Краткое описание

Электронная торговля (англ. e-commerce, далее ЭТ) — покупка и продажа товаров или услуг через электронные системы, такие как Интернет. Торгово-сервисные предприятия (далее – ТСП) могут по-разному организовать продажу товаров и услуг в интернет-магазине, например:

ТСП могут для ЭТ разрабатывать собственные платежные приложения, пользоваться решениями сторонних разработчиков или сочетать одно с другим. ТСП доступно множество технологий для реализации функциональных возможностей ЭТ, например:
— приложения для обработки платежей;
— интерфейсы программирования приложений (API);
— вложенные фреймы (iframe);
— встроенные страницы оплаты. ТСП могут определять различные уровни контроля над управлением ИТ-инфраструктурой,  и соответствующие им уровни ответственности. Так, ТСП может взять на себя управление всеми внутренними сетями и серверами, а контроль над всеми системами и инфраструктурой передать поставщикам услуг хостинга и (или) процессинговым центрам ЭТ (далее — ПЦ ЭТ) на подрядной основе; либо частью компонентов управлять самостоятельно, а управление другой частью — сторонним организациям на подрядной основе.

Вне зависимости от выбранного ТСП варианта следует учитывать следующие положения, касающихся безопасности данных о держателях карт (далее — ДДК):

Ни один из вариантов не освобождает ТСП от обязанности соблюдать требования стандарта PCI DSS. Вне зависимости от доли управления, переданной на подрядную основу, ответственность за  обеспечение защиты данных платежных карт (далее — ДПК) лежит на ТСП. Подключения и переадресации между ТСП и сторонней организацией могут быть скомпрометированы, поэтому ТСП обязано следить за состоянием своих систем, чтобы обеспечить отсутствие в них несанкционированных изменений и поддерживать целостность подключений и (или) переадресаций. Платежные приложения ЭТ, такие как приложения типа «корзины покупок», должны иметь свидетельство о соответствии стандарту PA-DSS и должны быть включены в список платежных приложений (Validated Payment Applications), одобренных Советом PCI SSC. При разработке собственных приложений для ЭТ стандарт PA-DSS носит рекомендательный характер. Отношения со сторонними организациями, а также ответственность ТСП и каждой сторонней организации за соблюдение стандарта PCI DSS должны быть четко сформулированы и задокументированы в договоре подряда или соглашении о качестве предоставляемых услуг; при  этом необходимо убедиться, что каждая сторона понимает и соблюдает соответствующие требования стандарта PCI DSS. Приложение «B» настоящего документа можно использовать как обобщенную анкету для понимания всеми участниками того, за соблюдение каких требований стандарта PCI DSS отвечает каждая сторона.

2        Введение

НЕ нашли? Не то? Что вы ищете?

В ЭТ прием платежей с пластиковых карт по Интернету основывается на простых принципах:

Если технологии ЭТ используются для приема платежей, то на эти технологии распространяются требования PCI DSS. Передавая технологии ЭТ стороннему поставщику услуг на подрядной основе, ТСП по-прежнему отвечает за обеспечение соблюдения стандарта PCI DSS и защиту ДПК как у себя, так и на стороне поставщика услуг. Решения ЭТ могут сильно различаться; ответственные участники должны четко понимать и документировать уникальные характеристики своих решений ЭТ, включая, любое взаимодействие с процессами транзакции платежей и с ДПК. Не существует универсальной методики или решения для приведения инфраструктуры ЭТ в соответствие со стандартом PCI DSS. Для каждой инфраструктуры требуются свои защитные меры и процедуры, которые зависят от  того, как именно реализована обработка ДПК.

В рамках данной Дополнительной информации термин «электронная торговля» относится к таким средам, где ТСП принимают платежные карты через Интернет. В такой архитектуре транзакции между ТСП и клиентами (держателями карт) часто называются моделью B2C (Business-to-consumer, «бизнес для потребителя»). Несмотря на то, что некоторые ТСП под «электронной торговлей» могут понимать продажи по электронной почте, телефону и через мобильные устройства, такие сценарии в настоящем документе не рассматриваются.

ЭТ продолжает развиваться, охватывая все больше технологий, устройств и форматов. Подобно тому, как это происходит в любых новых технологиях, в интернет-магазинах возникают риски, несвойственные традиционным магазинам.

2.1        Назначение настоящей Дополнительной информации

Настоящая Дополнительная информация предназначена для того, чтобы дать рекомендации по использованию  технологий ЭТ в соответствии с требованиями стандарта PCI DSS. В рамках данного документа, все ссылки относятся к стандарту PCI DSS, версия 2.0.

Данная Дополнительная информация предназначена для ТСП, которые используют или рассматривают возможность использовать технологии ЭТ в своей среде ДДК, а также для сторонних поставщиков услуг и продуктов для ЭТ или поставщиков услуг хостинга и (или) облачных сервисов для ТСП. Кроме того, этот документ может быть полезен аудиторам, оценивающих инфраструктуру ЭТ в рамках аудитов PCI DSS.

Данный документ дает лишь дополнительные рекомендации, касающиеся применения технологий ЭТ, и он не заменяет собой и не отменяет требования PCI DSS. Соответствие инфраструктуры ЭТ конкретным критериям соответствия и аудиторским требованиям должно оцениваться по критериям, предусмотренным в стандарте PCI DSS.

Данный документ не следует рассматривать как рекламу каких-либо технологий, продуктов или услуг; в нем лишь признается, что такие технологии существуют и могут влиять на безопасность ДПК.

3        Общие сведения об ЭТ

В данном разделе рассмотрены типичные компоненты ЭТ, и некоторые распространенные решения. Также приведены общие рекомендации, которые помогут определить, какие из требований PCI DSS применимы в каждом описываемом решении.

Рекомендации по определению области действия PCI DSS не отменяют базового принципа: PCI DSS применяется ко всем системным компонентам, входящим в среду ДДК или подключенным к ней.

Термины «данные о держателях карт», «среда данных о держателях карт» и «критичные аутентификационные данные», используемые в данном документе, соответствуют определениям, данным в документе «Глоссарий PCI DSS: основные определения, аббревиатуры и сокращения» (PCI DSS Glossary of Terms, Abbreviations and Acronyms).

3.1        Сторонние организации

3.1.1        Платежный шлюз и (или) ПЦ ЭТ

Данная организация авторизует платежи для ТСП ЭТ, либо служит посредником при авторизации, перенаправляя транзакции в ПЦ и (или) эквайерам, которые фактически осуществляют авторизацию. ПЦ ЭТ часто предоставляют ТСП ПО, взаимодействующее с приложением типа «корзина покупок» ТСП и служащее для сбора и передачи ДПК клиента.

3.1.2        Поставщик услуг веб-хостинга

ТСП ЭТ может принять решение передать свой веб-сайт и (или) серверы стороннему поставщику услуг хостинга на подрядной основе. Организации такого рода предоставляют клиентам место на сервере с общей средой и доступом в Интернет, а иногда и дополнительные услуги по обеспечению безопасности, такие как шифрование при передаче данных через Интернет.  Как правило, такие организации обычно предлагают также услуги хостинга для серверов общего назначения, например, для серверов электронной почты, DNS-серверов, необходимых для определения местонахождения других серверов в сети Интернет. Все перечисленные услуги обычно называют общим словом «веб-хостинг». Заметьте, что некоторые поставщики услуг веб-хостинга предлагают услуги с функциональными возможностями для ЭТ: встроенные страницы оплаты и (или) приложения типа «корзина покупок».

Зачастую поставщики услуг веб-хостинга размещают несколько — зачастую много — веб-сайтов на одном сервере. В такой «общей» среде сайт ТСП может быть скомпрометирован через уязвимости в сайтах других ТСП на том же сервере, либо через уязвимости в той же среде. ТСП всегда обязано знать, находится ли его веб-сайт на сервере с общей средой. К поставщикам услуг хостинга с общей средой применяются требования PCI DSS, в частности, требование 2.4 и «Приложение А: Дополнительные требования PCI DSS для поставщиков услуг хостинга с общей средой

3.1.3        Поставщик услуг хостинга с типовой инфраструктурой

Существует еще одна форма хостинга, которым могут воспользоваться ТСП ЭТ — хостинг с типовой инфраструктурой. Такие поставщики услуг хостинга часто предлагают подключение к Интернету, и могут также предложить серверные помещения, отсеки и стойки в специально приспособленном, физически защищенном помещении. Как правило, ответственность за установку, управление и защиту серверов в помещениях, отсеков и стоек несут сами клиенты поставщика услуг хостинга. Следует учитывать, что такой вид хостинга используется не только ТСП ЭТ — его может использовать любая организация, чтобы частично разделить расходы и ответственность, связанные с полным управлением инфраструктурой ЦОДа.

3.2        Инфраструктура ЭТ

Под «инфраструктурой» могут пониматься фундаментальные компоненты ИТ, которые могут быть присущи не только ЭТ. В случае ЭТ такими компонентами являются, например, веб-сервер, который представляет клиенту страницы веб-сайта ТСП, серверы приложений, серверы баз данных (далее серверы БД), прочие подчиненные серверы и устройства (например, сетевые устройства и др.), подключенные к среде ДДК и (или) осуществляющие поддержку инфраструктуры ЭТ. Также сюда относятся инфраструктуры сети и операционных систем, осуществляющие поддержку систем ТСП, таких как межсетевые экраны, коммутаторы, маршрутизаторы, а также любые виртуальные инфраструктурные компоненты (например, гипервизоры). Элементы инфраструктуры можно распределить множеством разных способов, например, инфраструктура может быть полностью или частично находиться в собственности и под контролем ТСП, а может размещаться и поддерживаться организацией, поставляющей услуги выделенного хостинга.

Как правило, инфраструктура ЭТ соответствует трехуровневой модели вычислений, где каждый уровень выполняет свою функцию: 1)уровень представления (веб); 2) уровень обработки (приложения); 3) уровень хранения данных.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6