Электронная торговля англ e-commerce




НазваниеЭлектронная торговля англ e-commerce
страница1/6
Дата публикации06.08.2013
Размер0.57 Mb.
ТипДокументы
litcey.ru > Информатика > Документы
  1   2   3   4   5   6
1 Краткое описание

Электронная торговля (англ. e-commerce, далее ЭТ) — покупка и продажа товаров или услуг через электронные системы, такие как Интернет. Торгово-сервисные предприятия (далее – ТСП) могут по-разному организовать продажу товаров и услуг в интернет-магазине, например:

  • ТСП могут для ЭТ разрабатывать собственные платежные приложения, пользоваться решениями сторонних разработчиков или сочетать одно с другим.

  • ТСП доступно множество технологий для реализации функциональных возможностей ЭТ, например:
    — приложения для обработки платежей;
    — интерфейсы программирования приложений (API);
    — вложенные фреймы (iframe);
    — встроенные страницы оплаты.

  • ТСП могут определять различные уровни контроля над управлением ИТ-инфраструктурой, и соответствующие им уровни ответственности. Так, ТСП может взять на себя управление всеми внутренними сетями и серверами, а контроль над всеми системами и инфраструктурой передать поставщикам услуг хостинга и (или) процессинговым центрам ЭТ (далее — ПЦ ЭТ) на подрядной основе; либо частью компонентов управлять самостоятельно, а управление другой частью — сторонним организациям на подрядной основе.

Вне зависимости от выбранного ТСП варианта следует учитывать следующие положения, касающихся безопасности данных о держателях карт (далее — ДДК):

  • Ни один из вариантов не освобождает ТСП от обязанности соблюдать требования стандарта PCI DSS. Вне зависимости от доли управления, переданной на подрядную основу, ответственность за обеспечение защиты данных платежных карт (далее — ДПК) лежит на ТСП. Подключения и переадресации между ТСП и сторонней организацией могут быть скомпрометированы, поэтому ТСП обязано следить за состоянием своих систем, чтобы обеспечить отсутствие в них несанкционированных изменений и поддерживать целостность подключений и (или) переадресаций.

  • Платежные приложения ЭТ, такие как приложения типа «корзины покупок», должны иметь свидетельство о соответствии стандарту PA-DSS и должны быть включены в список платежных приложений (Validated Payment Applications), одобренных Советом PCI SSC. При разработке собственных приложений для ЭТ стандарт PA-DSS носит рекомендательный характер.

  • Отношения со сторонними организациями, а также ответственность ТСП и каждой сторонней организации за соблюдение стандарта PCI DSS должны быть четко сформулированы и задокументированы в договоре подряда или соглашении о качестве предоставляемых услуг; при этом необходимо убедиться, что каждая сторона понимает и соблюдает соответствующие требования стандарта PCI DSS. Приложение «B» настоящего документа можно использовать как обобщенную анкету для понимания всеми участниками того, за соблюдение каких требований стандарта PCI DSS отвечает каждая сторона.

2 Введение

В ЭТ прием платежей с пластиковых карт по Интернету основывается на простых принципах:

  1. Если технологии ЭТ используются для приема платежей, то на эти технологии распространяются требования PCI DSS.

  2. Передавая технологии ЭТ стороннему поставщику услуг на подрядной основе, ТСП по-прежнему отвечает за обеспечение соблюдения стандарта PCI DSS и защиту ДПК как у себя, так и на стороне поставщика услуг.

  3. Решения ЭТ могут сильно различаться; ответственные участники должны четко понимать и документировать уникальные характеристики своих решений ЭТ, включая, любое взаимодействие с процессами транзакции платежей и с ДПК.

  4. Не существует универсальной методики или решения для приведения инфраструктуры ЭТ в соответствие со стандартом PCI DSS. Для каждой инфраструктуры требуются свои защитные меры и процедуры, которые зависят от того, как именно реализована обработка ДПК.

В рамках данной Дополнительной информации термин «электронная торговля» относится к таким средам, где ТСП принимают платежные карты через Интернет. В такой архитектуре транзакции между ТСП и клиентами (держателями карт) часто называются моделью B2C (Business-to-consumer, «бизнес для потребителя»). Несмотря на то, что некоторые ТСП под «электронной торговлей» могут понимать продажи по электронной почте, телефону и через мобильные устройства, такие сценарии в настоящем документе не рассматриваются.

ЭТ продолжает развиваться, охватывая все больше технологий, устройств и форматов. Подобно тому, как это происходит в любых новых технологиях, в интернет-магазинах возникают риски, несвойственные традиционным магазинам.

^ 2.1 Назначение настоящей Дополнительной информации

Настоящая Дополнительная информация предназначена для того, чтобы дать рекомендации по использованию технологий ЭТ в соответствии с требованиями стандарта PCI DSS. В рамках данного документа, все ссылки относятся к стандарту PCI DSS, версия 2.0.

Данная Дополнительная информация предназначена для ТСП, которые используют или рассматривают возможность использовать технологии ЭТ в своей среде ДДК, а также для сторонних поставщиков услуг и продуктов для ЭТ или поставщиков услуг хостинга и (или) облачных сервисов для ТСП. Кроме того, этот документ может быть полезен аудиторам, оценивающих инфраструктуру ЭТ в рамках аудитов PCI DSS.

Данный документ дает лишь дополнительные рекомендации, касающиеся применения технологий ЭТ, и он не заменяет собой и не отменяет требования PCI DSS. Соответствие инфраструктуры ЭТ конкретным критериям соответствия и аудиторским требованиям должно оцениваться по критериям, предусмотренным в стандарте PCI DSS.

Данный документ не следует рассматривать как рекламу каких-либо технологий, продуктов или услуг; в нем лишь признается, что такие технологии существуют и могут влиять на безопасность ДПК.

^ 3 Общие сведения об ЭТ

В
Примечание: В операциях электронной торговли у ТСП часто используются коды и (или) значения подтверждения подлинности карты, они же коды безопасности. Это трех- или четырехзначные коды, нанесенные на лицевую либо обратную сторону карты и использующиеся в транзакциях без присутствия карты (card-not-present). Сообщая такой код, держатель карты подтверждает, что карта действительно находится в его распоряжении. Согласно требованию 3.2 стандарта PCI DSS, эти коды отнесены к «критичным аутентификационным данным» и не должны храниться после авторизации транзакции по карте.
данном разделе рассмотрены типичные компоненты ЭТ, и некоторые распространенные решения. Также приведены общие рекомендации, которые помогут определить, какие из требований PCI DSS применимы в каждом описываемом решении.

Рекомендации по определению области действия PCI DSS не отменяют базового принципа: PCI DSS применяется ко всем системным компонентам, входящим в среду ДДК или подключенным к ней.

Термины «данные о держателях карт», «среда данных о держателях карт» и «критичные аутентификационные данные», используемые в данном документе, соответствуют определениям, данным в документе «Глоссарий PCI DSS: основные определения, аббревиатуры и сокращения» (PCI DSS Glossary of Terms, Abbreviations and Acronyms).

^ 3.1 Сторонние организации

3.1.1 Платежный шлюз и (или) ПЦ ЭТ

Данная организация авторизует платежи для ТСП ЭТ, либо служит посредником при авторизации, перенаправляя транзакции в ПЦ и (или) эквайерам, которые фактически осуществляют авторизацию. ПЦ ЭТ часто предоставляют ТСП ПО, взаимодействующее с приложением типа «корзина покупок» ТСП и служащее для сбора и передачи ДПК клиента.

3.1.2 Поставщик услуг веб-хостинга

ТСП ЭТ может принять решение передать свой веб-сайт и (или) серверы стороннему поставщику услуг хостинга на подрядной основе. Организации такого рода предоставляют клиентам место на сервере с общей средой и доступом в Интернет, а иногда и дополнительные услуги по обеспечению безопасности, такие как шифрование при передаче данных через Интернет. Как правило, такие организации обычно предлагают также услуги хостинга для серверов общего назначения, например, для серверов электронной почты, DNS-серверов, необходимых для определения местонахождения других серверов в сети Интернет. Все перечисленные услуги обычно называют общим словом «веб-хостинг». Заметьте, что некоторые поставщики услуг веб-хостинга предлагают услуги с функциональными возможностями для ЭТ: встроенные страницы оплаты и (или) приложения типа «корзина покупок».

Зачастую поставщики услуг веб-хостинга размещают несколько — зачастую много — веб-сайтов на одном сервере. В такой «общей» среде сайт ТСП может быть скомпрометирован через уязвимости в сайтах других ТСП на том же сервере, либо через уязвимости в той же среде. ТСП всегда обязано знать, находится ли его веб-сайт на сервере с общей средой. К поставщикам услуг хостинга с общей средой применяются требования PCI DSS, в частности, требование 2.4 и «Приложение А: Дополнительные требования PCI DSS для поставщиков услуг хостинга с общей средой

3.1.3 Поставщик услуг хостинга с типовой инфраструктурой

Существует еще одна форма хостинга, которым могут воспользоваться ТСП ЭТ — хостинг с типовой инфраструктурой. Такие поставщики услуг хостинга часто предлагают подключение к Интернету, и могут также предложить серверные помещения, отсеки и стойки в специально приспособленном, физически защищенном помещении. Как правило, ответственность за установку, управление и защиту серверов в помещениях, отсеков и стоек несут сами клиенты поставщика услуг хостинга. Следует учитывать, что такой вид хостинга используется не только ТСП ЭТ — его может использовать любая организация, чтобы частично разделить расходы и ответственность, связанные с полным управлением инфраструктурой ЦОДа.

^ 3.2 Инфраструктура ЭТ

Под «инфраструктурой» могут пониматься фундаментальные компоненты ИТ, которые могут быть присущи не только ЭТ. В случае ЭТ такими компонентами являются, например, веб-сервер, который представляет клиенту страницы веб-сайта ТСП, серверы приложений, серверы баз данных (далее серверы БД), прочие подчиненные серверы и устройства (например, сетевые устройства и др.), подключенные к среде ДДК и (или) осуществляющие поддержку инфраструктуры ЭТ. Также сюда относятся инфраструктуры сети и операционных систем, осуществляющие поддержку систем ТСП, таких как межсетевые экраны, коммутаторы, маршрутизаторы, а также любые виртуальные инфраструктурные компоненты (например, гипервизоры). Элементы инфраструктуры можно распределить множеством разных способов, например, инфраструктура может быть полностью или частично находиться в собственности и под контролем ТСП, а может размещаться и поддерживаться организацией, поставляющей услуги выделенного хостинга.

Как правило, инфраструктура ЭТ соответствует трехуровневой модели вычислений, где каждый уровень выполняет свою функцию: 1)уровень представления (веб); 2) уровень обработки (приложения); 3) уровень хранения данных.

Рисунок 1. Пример обычной трехуровневой модели вычислений в ЭТ



3.2.1 Веб-серверы

Веб-серверы ЭТ предоставляют свободный доступ к информации в виде веб-страниц, форм, рекламы, каталогов товаров и корзин покупок, отображаемых в браузере клиента. Так как веб-серверы открыты для всеобщего доступа, на них ни в коем случае не должна храниться критичная и конфиденциальная информация — такая, как ДПК (см. требование 1.3.7 PCI DSS). Веб-серверы зачастую обмениваются данными с другими, более критичными серверами , в частности, с серверами приложений и серверами БД, которые находятся за межсетевым экраном (далее — МЭ).

^ Область применения PCI DSS: Так как веб-серверы принимают ДПК от клиентов и (или) передают эти данные в приложения и БД ТСП (которые могут располагаться в хостинге), веб-серверы являются неотъемлемой частью среды ДДК и включаются в область применения стандарта PCI DSS.

3.2.2 Серверы приложений

Серверы приложений выполняют целый ряд функций обработки данных, поэтому они никогда не должны быть общедоступны. В большинстве случаев клиенты не взаимодействуют напрямую с такими серверами, так как серверы приложений принимают запросы от веб-сервера на обработку, преобразование и подготовку данных к хранению или передаче. Серверы приложений могут также принимать ответы от серверов БД или извлекать их содержимое, а затем передавать результаты на веб-сервер для отображения их клиенту.

^ Область применения PCI DSS: Серверы приложений считаются частью среды ДДК и входят в область применения стандарта PCI DSS, так как они в первую очередь используются в обработке и (или) передаче ДПК.

3.2.3 Хранение данных

Уровень хранения данных включает в себя серверы БД и все прочие системы или носители, служащие для хранения данных. Так как в БД может храниться критичная информация, в том числе ДПК, серверы БД никогда не должны быть общедоступны (согласно требованию 1.3.7 PCI DSS). В трехуровневой модели база данных принимает и отвечает только на те запросы, которые имеют корректный формат и поступают от аутентифицированных источников, обычно от сервера приложений.

Область применения PCI DSS: Серверы БД зачастую хранят ДПК, следовательно, считаются частью среды данных платежных карт, и входят в область применения стандарта PCI DSS.

^ 3.3 Компоненты ЭТ

Следующие компоненты характерны только для решений ЭТ.

3.3.1 Приложение типа «корзина покупок»

«Корзина покупок» — ПО, с помощью которого ТСП помогает клиентам совершать покупки через Интернет, позволяя им составлять список приобретаемых товаров или услуг. «Корзина покупок» помогает завершить покупку, зачастую предоставляет возможность собрать платежные данные клиента через веб-приложение, и может также предоставлять иные функциональные возможности, помогающие ТСП ЭТ управлять интернет-магазином. В сценариях, когда ПО «торговой корзины» используется для ввода платежных данных клиента, оно взаимодействует с интерфейсом API, как правило, предоставляемым ПЦ ЭТ. Данные платежных карт через API передаются в платежный шлюз ЭТ, а затем перенаправляются в ПЦ для авторизации платежа. ТСП может получить функциональные возможности «корзины покупок» различными способами, например: 1) разработать внутреннее приложение собственными силами;
2) заказать приложение у сторонних разработчиков;
3) приобрести стандартное приложение типа «корзины покупок»;
4) оформить подписку на обслуживание встроенной страницы оплаты, предоставляемой поставщиком услуг хостинга и (или) платежным шлюзом.

^ Область применения PCI DSS: На приложения типа «корзина покупок» распространяется действие PCI DSS, a в некоторых случаях и PA-DSS. Приложение типа «корзина покупок» и платежные приложения должны разрабатываться безопасно и в соответствии с PA-DSS для того, чтобы соблюдались следующие требования:
1). не разрешается хранить ДДК после авторизации;
2). в случае служебной необходимости в хранении ДДК после авторизации, такие данные во время хранения должны быть защищены в соответствии с требованием 3.4 PCI DSS (например, с помощью шифрования, усечения или хеширования). Важно помнить, что согласно требованию 3.2 PCI DSS запрещается хранить такие критичные аутентификационные данные, как CAV2, CVC2, CVV2, CID, после завершения авторизации, даже в зашифрованном виде.

3.3.2 Шифрование с использованием Secure Sockets Layer/Transport Layer Security (SSL/TLS)

Информация, которой обменивается клиент и ТСП, а также ТСП и платежный шлюз, шифруется с использованием протоколов SSL/TLS. Согласно требованию 4.1 PCI DSS, необходимо защищать ДПК при передаче по сетям общего пользования (включая Интернет). Корректная реализация обмена данными по протоколу SSL/TLS отвечает этому требованию. О том, что используется SSL, можно судить по префиксу HTTPS в адресе веб-страницы, на которой вводятся ДПК. Кроме того, большинство браузеров отображают значок в виде замочка в верхней или нижней части окна (чаще всего в адресной строке). Наличие такого значка указывает на то, что данные шифруются; щелкнув по значку мышью, пользователь может просмотреть сведения о веб-сайте и его сертификате SSL.

^ Область применения PCI DSS: Требование 4.1 PCI DSS содержит конкретные требования к реализации протоколов SSL/TLS. Протокол SSL основан на подлинности сертификата; конфигурация протокола должна быть безопасной и отвечать требованиям стойкой криптографии. Следует помнить, что версия 2 протокола SSL уже считается небезопасной и не должна использоваться для транзакций в ЭТ. Если ТСП сомневается, что некоторые клиенты с устаревшими версиями браузеров смогут пользоваться его сайтом после перехода на SSL версии 3.0, рекомендуется в доступной форме объяснить клиентам о том, как обновить браузер, и, возможно, о том, как актуальная версия браузера поможет надежно защитить свои ДПК.

3.3.3 Сетевые компоненты и инфраструктура обслуживания ЭТ

Сетевые компоненты обеспечивают соединение и обмен данными между различными системами (например, между серверами приложений и серверами БД), а также между ТСП, клиентом и ПЦ ЭТ.

Инфраструктура обслуживания ЭТ включает в себя все компьютеры и сетевые технологии, такие как веб-серверы, серверы приложений, серверы БД, маршрутизаторы, МЭ, системы обнаружения и (или) предотвращения вторжений (IDS/IPS), а также все прочие технологии, выполняющие в инфраструктуре ЭТ функции обмена данными, обработки данных, мониторинга и защиты информации.

У крупных ТСП ЭТ и поставщиков услуг инфраструктура обслуживания может также включать в себя средства интеграции различных технологий (например, сервис-ориентированную архитектуру), а также технологии для оптимизации операций ЭТ, такие как распределение нагрузки, средства аппаратного ускорения SSL, кэширование содержимого.

Каждая среда подлежит тщательному анализу для того, чтобы обеспечить надлежащую идентификацию и безопасность всех технологий.

^ Область применения PCI DSS: Все сетевые компоненты, соединяющие между собой системы и (или) передающие ДДК, входят в область применения PCI DSS. ТСП обязано четко понимать, где именно в его сети проходят ДДК, а также когда и как эти данные передаются поставщику услуг хостинга или в ПЦ ЭТ.
  1   2   3   4   5   6

Похожие:

Электронная торговля англ e-commerce iconЛитература 4 Англ язык История Математика 5 Физкультура Англ язык...

Электронная торговля англ e-commerce iconФинансовые инструменты
Венным процессом появления новых видов ценных бумаг и финансовых операций. Сначала торговля ресурсами осуществлялась по бартеру,...
Электронная торговля англ e-commerce iconРасписание занятий
Ия учебный корпус №2 англ к филол н. Иванова Н. Н., англ. Краснянская И. И., нем. Лейба С. С
Электронная торговля англ e-commerce iconГлаголы со значением ошибочного действия в английском, русском, украинском языках
Лы типа: (1) англ mishear, рус ослышаться, укр недочути, «неверно понять вследствие ослышки», (2) англ mis-step, рус оступиться,...
Электронная торговля англ e-commerce iconПоложение о проведении кубка вызова «champion of commerce game»
Регистрация участников соревнования: 31. 01. 13 г в 20-00 в бильярдном клубе «Формула С»
Электронная торговля англ e-commerce iconИнструкция пользователя
Электронная карта: предоставление отображения несколькими способами такими, как: электронная карта, мульти-дисплей, древовидный список...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
litcey.ru
Главная страница