А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

Рейтинг:

• 80
• 1
• 2
• 3
• 4
• 5

Название:

Безопасность карточного бизнеса : бизнес-энциклопедия

Автор:

А. Алексанов

Издательство:

Московская финансово-промышленная академия; ЦИПСиР

Жанр:

О бизнесе популярно

Год:

2012

ISBN:

978-5-4257-0018-6

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Безопасность карточного бизнеса : бизнес-энциклопедия"

Описание и краткое содержание "Безопасность карточного бизнеса : бизнес-энциклопедия" читать бесплатно онлайн.

В случае тестирования обновлений на серверных компонентах процессинговых систем необходимо подготовить и провести тесты на тех компонентах, которые подвергаются изменениям. Тесты должны охватывать полный цикл прохождения транзакции, чтобы исключить вероятность сбоев после установки этого обновления на рабочих системах.

Еще одним из обязательных требований в обеспечении безопасности ПЦ является необходимость использования антивирусных средств защиты. Антивирусные средства должны быть установлены на всех рабочих станциях и серверах ПЦ без исключений, даже если на данный момент не существует вирусов под определенные операционные системы. Базы данных антивирусного программного обеспечения должны регулярно обновляться и иметь актуальные версии.

Отдельное внимание необходимо уделить аудиту доступа к ресурсам (логам) ПЦ. Поскольку ПЦ является сложной взаимосвязанной системой и состоит из различных компонентов, в том числе разных производителей, задача о фиксировании событий доступа к объектам такой системы требует отдельного решения. На современном рынке производителей ПО существует множество решений, которые решают такие задачи.

Данные программные продукты помогают осуществить централизованный сбор данных из различных источников, таких как:

• различные операционные системы;

• СУБД;

• сетевые маршрутизаторы и брандмауэры;

• антивирусное ПО;

• компоненты уровня приложений.

Использование таких комплексных решений позволяет сотрудникам службы сетевой безопасности оперативно реагировать на критические инциденты и предотвращать их в дальнейшем. Более того, централизация сбора данных аудита доступа к объектам может помочь в восстановлении хронологии попытки атаки и предупредить ее в дальнейшем.

В связи с этим должны быть приняты меры по защите сервера централизованного сбора логов доступа. Логи сервера должны быть защищены от удаления, а их изменение должно быть доступно только тем процессам, которые осуществляют логирование. Для ПЦ хранение логов доступа в режиме онлайн обязательно в течение трех месяцев. После архивации лог-файлов необходимо рассчитать контрольные суммы, которые должны быть документально зафиксированы. Архивные копии записей аудита доступа к ресурсам должны быть записаны на носитель типа «только для чтения» и преданы на хранение.

Таким образом, задача обеспечения безопасности в ПЦ является многогранной, а ее комплексное решение требует тщательной проработки всех деталей от логической организации до фактической реализации.

В современном быстроменяющемся мире техники и технологии довольно трудно предугадать дальнейшее их развитие даже на ближайший год, не говоря уже о десятилетии. Но, тем не менее, основные тенденции в развитии прослеживаются. Так, одним из перспективных направлений в развитии процессинговых услуг на рынке может быть решение, которое давно уже получило всемирное признание в других крупных корпоративных предприятиях. Данное решение уходит своими корнями в период становления компьютерных сетей и систем совместного доступа на базе терминалов. В то время пользователи получали централизованный доступ к вычислительным ресурсам главного компьютера при помощи терминалов удаленного доступа, подключенных к нему по общей шине передачи данных. Каждый пользователь производил регистрацию на центральном компьютере и получал соответствующие права доступа.

Как ни странно, но в современной IT-индустрии продолжают существовать такие системы, но выведенные на новый виток развития технологии. В мире процессинговых услуг также известно применение аналогичной технологии. Эта технология получила название «тонкий клиент»[110]. В основу этой технологии положен принцип удаленного терминального доступа, когда пользователь, пройдя аутентификацию на центральном компьютере, удаленно получает доступ к его ресурсам в соответствии с предоставленными правами. Передавая информацию от терминала о действиях пользователя (нажатия клавиатуры или действия с мышью), терминал получает в ответ от сервера изменения удаленного экрана пользователя. Использование такого рода подхода позволяет получать безопасный доступ к процессинговым системам. У такого подхода есть множество плюсов, которые могут быть хорошим подспорьем в решении вопросов сетевой безопасности ПЦ.

Так, например, данный подход позволяет исключить необходимость защиты рабочих станций от вирусной угрозы, угрозы брешей в безопасности рабочей станции, несанкционированного доступа к данным на сервере. Централизованное управление терминальным доступом, удаленное подключение к открытой сессии пользователей, централизованное администрирование всех пользователей и терминалов облегчает работу администраторов ЛВС. Также есть и экономическая составляющая, при которой установленное на сервер приложение может быть растиражировано между всеми пользователями удаленного доступа без необходимости приобретения дополнительных лицензий (это актуально для крупных ПЦ). Одним из главных преимуществ данной технологии является то, что критические данные, такие как номера карт, авторизационные данные, невозможно сохранить на внешних носителях информации без специальных средств, которые могут быть предоставлены администраторами в исключительных ситуациях. Таким образом, утечка данных из ПЦ сводится практически к нулю. Но данная технология требует повышенной защиты сервера приложений, т. е. все программные компоненты, установленные на сервер приложений, должны быть полностью защищены. Для укрепления защиты передаваемых данных могут быть использованы протоколы шифрования трафика, а также двухфакторная аутентификация на основе USB-ключей.

В данном разделе были рассмотрены основные аспекты обеспечения безопасности в сфере процессинговых центров. Разумеется, все перечисленное в данной главе является только обобщением накопленного мировым сообществом опытом создания и эксплуатации процессинговых центров. Необходимо понимать, что каждый ПЦ, как и любое другое предприятие, имеет свои особенности и тонкости и, естественно, что задачи по обеспечению безопасности в том или ином предприятии имеют характерную специфику. Любому ПЦ присуща работа с персональными данными владельцев пластиковых карт, а это означает, что репутация и надежность процессингового центра целиком и полностью зависят от степени безопасности составляющих его систем. Вот поэтому так важно уделять максимум внимания для решения вопросов, связанных с обеспечением не только отказоустойчивости систем при работе в режиме 24 × 7, но и степени защиты доверяемых процессинговому центру данных.

В 2007 г. в торговых предприятиях г. Астрахани российские банки-эквайреры зафиксировали резкий рост количества незаконных операций по поддельным картам иностранных банков-эмитентов. В августе месяце при попытке расплатиться поддельной картой была задержана молодая женщина, участница преступной группы. Однако уголовное дело возбуждено не было. И только 11 октября 2007 г. по заявлению представителя одной из крупнейших в России процессинговых компаний было возбуждено уголовное дело № 7013396. В результате его расследования в качестве потерпевших были признаны четыре российских банка-эквайрера, выявлена группа лиц, осуществлявшая незаконную деятельность, состоящая из семи человек, которым были предъявлены обвинения.

Начальнику УСТМ УВД

по Астраханской области

Сообщаю Вам, что в период с 20 марта 2007 г. по 18 июля 2007 г. в магазине «Столица компьютерная», расположенном по адресу: г. Астрахань, ул. Минусинская, д. 8 (торговый терминал 701386), обслуживаемом «Г…банк» (открытое акционерное общество) (далее — Банк) на основании договора об эквайринговом обслуживании №… от 21 декабря 2004 г. между Банком и ПБОЮЛ ч. А. А., которому принадлежит магазин, неустановленными лицами совершено изготовление поддельных платежных документов, сбыт этих документов и хищение денежных средств при осуществлении операций оплаты в магазине с использованием поддельных кредитных и расчетных карт.

20 марта 2007 г. с использованием расчетной карты платежной системы VISA № 4567350002160626 были осуществлены две операции покупки: 19 050 руб. и 5470 руб. Банк-эмитент Alliance & Leicester PLC (Великобритания) занес данные операции в отчет системы отслеживания подозрительной деятельности торговых предприятий VISA Int. (FRS) как мошеннические (Приложение 4).