Электронная торговля англ e-commerce




НазваниеЭлектронная торговля англ e-commerce
страница2/6
Дата публикации06.08.2013
Размер0.57 Mb.
ТипДокументы
litcey.ru > Информатика > Документы
1   2   3   4   5   6

^ 3.4 Основные решения ЭТ

Ниже приведен список наиболее популярных решений ЭТ (а также их описаний и примеров):

Решения ЭТ, контролируемые ТСП:

o Приложение типа «корзина покупок» и (или) платежное приложение собственной разработки или разработанные на заказ

o Готовые приложения типа «корзина покупок» и (или) платежные приложения, приобретаемые на рынке ПО

Решения ЭТ на частично подрядной основе:

o Интерфейсы API сторонних организаций с использованием метода Direct Post

o Фреймы (iframe) для встраивания в веб-страницы ТСП платежных форм сторонних организаций

o Встроенные веб-страницы сторонних организаций, которые перенаправляют клиента на страницу, находящуюся на совершенно другом домене, для ввода платежных данных.

Решения ЭТ на полностью подрядной основе

П
Примечание:

PA-DSS — это стандарт, разработанный Советом PCI SSC для приложений, которые:
1). хранят, обрабатывают или передают ДДК в рамках авторизации или проведения расчетов;
2) продаются, лицензируются или распространяются среди сторонних организаций. Данный стандарт создавался для того, чтобы платежные приложения, приобретенные у сторонних организаций, не препятствовали, а упрощали выполнение требований стандарта PCI DSS ТСП или поставщиком услуг. Подтверждение сертификации по PA-DSS для приложения — при надлежащем соблюдении Руководства по внедрению PA-DSS— упрощает в целом процесс подтверждения соответствия ТСП стандарту PCI DSS.


Готовые платежные приложения, сертифицированные по PA-DSS, обеспечивают более высокий уровень защиты ДДК. Например, аудитор подтверждает, что при создании приложения соблюдались принципы безопасного программирования и что безопасность приложения была тщательно проверена.

Следует учитывать, что под обработкой ДДК приложением подразумевают либо работу с данными до их отправки в ПЦ ЭТ, либо во время авторизации и (или) завершения расчетов.
риведенные примеры — лишь немногие из наиболее популярных решений ЭТ. Разумеется, они ни в коем случае не отражают все многообразие возможных вариантов архитектур, аппаратных и программных компонентов, а также моделей хостинга и предоставления услуг.

В следующих разделах вышеперечисленные решения описаны более подробно; кроме того, даны рекомендации по применению к ним основных требований PCI DSS.

3.4.1 Решения ЭТ, контролируемые ТСП

Решения ЭТ, находящиеся непосредственно под контролем ТСП, являются решениями, где:
1). ТСП разрабатывает само или оплачивает услуги по разработке собственного платежного приложения;
2). ТСП приобретает готовое платежное приложение. Оба сценария описаны ниже.

^ Область применения PCI DSS: В общем случае веб-приложения ТСП и инфраструктура ЭТ входят в область применения всех соответствующих требований PCI DSS.

Для ТСП, разрабатывающих собственные приложения ЭТ, стандарт PA-DSS при разработке приложений носит рекомендательный характер. Это обеспечит безопасную разработку приложений и поможет ТСП соблюдать требования стандарта PCI DSS. ТСП также рекомендуется, взяв за основу требования к «Руководству по внедрению PA-DSS» (PA-DSS Implementation Guide), разработать для внутреннего использования руководство по безопасному внедрению приложения, которое будет предназначено для внутреннего пользования и в котором будут рекомендации по обеспечению выполнения требований PCI DSS и при установке и обслуживании приложения в среде, соответствующей требованиям PCI DSS .

В случае приобретений готовых платежных приложений и приложений типа «корзина покупок», рекомендуется, чтобы они имели сертификат соответствия PA-DSS, входили в список платежных приложений, одобренных PCI SSC, и были помечены в этом списке как «допущенные к повторной реализации». Разработка и использование в соответствии с «Руководством по внедрению PA-DSS» приложений, имеющих сертификат соответствия PA-DSS, впоследствии облегчит прохождение аудит PCI DSS.
3.4.1.1 Платежное приложение и (или) приложение типа «корзина покупок» собственной разработки или разработанные на заказ

Такие платежные приложения и (или) приложения типа «корзины покупок» разрабатываются ТСП либо самостоятельно, либо сторонним разработчиком, под заказ (в соответствии с техническим заданием ТСП), в рамках общей разработки веб-сайта (см. рис. 2 ниже).



3.4.2 Готовые платежные приложения и приложения типа «корзина покупок» под контролем ТСП

Данное решение аналогично предыдущему (т.е. решение собственной разработки или разработанное под заказ), за исключением того, что платежные функции обеспечивает готовый программный продукт, используемый на веб-сайте ТСП (платежное приложение). Такие платежные приложения разрабатываются и лицензируются для коммерческого использования. Более подробную информацию о приложениях типа «корзина покупок» см. выше, в Разделе 3.3.1. ( см. рис. 3 ниже).


3.4.3 Решения ЭТ на частично подрядной основе

Решения ЭТ на частично подрядной основе — это такие решения, в которых ТСП отвечает за часть элементов своей инфраструктуры ЭТ. К примеру, если в рамках решения ЭТ требуется, чтобы на сайт ТСП было встроено или доставлено какое-либо приложение или код, то ТСП будет отвечать за корректные реализацию и обслуживание такого кода; за безопасность сервера, на котором будет находиться код и т.д. Ниже приводятся три типа решения ЭТ с участием сторонних организаций:

  • Встраиваемые интерфейсы API с использованием Direct Post

  • Встроенные фреймы (iframe)

  • Встроенные страницы оплаты

Область применения PCI DSS: ТСП следует учитывать, что частичная передача решения сторонней организации на подрядной основе не освобождает ТСП от ответственности за соблюдение требований PCI DSS, даже если ТСП вправе заполнять опросные листы для самооценки (ОЛС). При любом из перечисленных решений ЭТ на частично подрядной основе для ТСП остаются риски ИБ, т.к. во время выполнения транзакции уязвимости сайта ТСП могут привести к компрометации ДПК. Риски, свойственные каждому из таких решений, описаны в пункте «Вопросы безопасности, касающиеся решений ЭТ на частично подрядной основе» на стр. 13. С учетом таких рисков для ДПК и сайта ТСП, даже в решениях на подрядной основе рекомендуется обеспечить защиту веб-сайта от рисков с помощью соответствующих защитных мер, определенных в стандарте PCI DSS.

3.4.3.1 Встраиваемые интерфейсы API сторонних организаций с использованием Direct Post

Одно из наиболее популярных решений на подрядной основе — использование интерфейсов API по лицензии, полученной от ПЦ ЭТ. В таких решениях ТСП, используя интерфейс API сторонней организации, размещает на своем сайте веб-приложение, направляющее платежные данные из браузера клиента непосредственно в ПЦ ЭТ. Интерфейсы API позволяют ТСП отправить в браузер клиента код («код для компьютера клиента»), с помощью которого браузер, сразу после заполнения соответствующих полей ДПК, пересылает их прямо в ПЦ ЭТ, минуя инфраструктуру веб-приложения ТСП. ПЦ ЭТ принимает ДПК от клиента и возвращает код подтверждения (идентификатор, токен и т.п.) веб-приложению ТСП . Для завершения транзакции веб-приложение ТСП пересылает код обратно через ПЦ ЭТ, где хранятся аутентификационные данные по данной транзакции, и использует его для завершения авторизации (см. рис. 4 ниже).

Также возможен вариант, когда ПЦ ЭТ принимает от клиента ДДК и просто сообщает ТСП, успешно ли завершилась операция. Если операция прошла успешно, ТСП может закончить обработку покупки.



3.4.3.2 Встроенные фреймы сторонних организаций

Встроенные фреймы (iframe) позволяют отображать одни веб-страницы внутри других. Они отображают в отдельном секторе содержимое страницы, на которую ссылаются. . Одним из популярных решений ЭТ является прием платежей через встроенную веб-страницу для оплаты, предоставляемую ПЦ ЭТ. Такие веб-страницы могут состоять лишь из нескольких полей, необходимых для осуществления платежа. Веб-приложение ТСП затем встраивает в виде фрейма эту страницу ПЦ таким образом, чтобы она отображалась как часть веб-страницы ТСП. После ввода данных на странице оплаты, они передаются на сервер приложений ПЦ ЭТ минуя ТСП (см. рис. 5 ниже).

Между ТСП и ПЦ ЭТ, обслуживающим встроенный фрейм, может находиться и сторонняя организация. Так, на сайте ТСП может быть ссылка на страницу сторонней организации, которая предоставляет, например, информацию о товаре на складе; а уже эта страница содержит встроенный фрейм и отправляет данные в ПЦ ЭТ. В таком случае сайт со встроенным фреймом передает, обрабатывает, и, возможно, хранит ДПК, и безопасность транзакции в этом сценарии зависит от обоих поставщиков услуг. При данном решении, ТСП должно рассматривать обе сторонние организации — сторона-посредник, на сайте которой встроен фрейм, и ПЦ, предоставляющий этот встроенный фрейм — в качестве своих поставщиков услуг, следовательно, ТСП обязано удостовериться в соответствии этих сторонних организаций требованиям PCI DSS. При работе со всеми сторонними организациями, поддерживающими встроенные фреймы, следует учитывать рекомендации, приведенные в разделе 5.4.
В отношении встроенных фреймов желательно следовать еще и следующим рекомендациям.

  • Встроенный фрейм необходимо разрабатывать безопасно, чтобы исключить исполнение любого несанкционированного кода внутри этого фрейма.

  • Фреймы не должны показывать диапазоны внутрисетевых адресов.

  • Конфигурация встроенных фреймов должна исключать кликджекинг (размещения поверх веб-страницы невидимых ссылок, которые при нажатии на них запускают вредоносные действия).



3.4.3.3 Встраиваемые веб-страницы сторонних организаций

Решения ЭТ, в которых используются встраиваемые страницы оплаты, являются следующей фазой развития встроенных фреймов (описанных выше). В данном случае, вместо отображения формы оплаты внутри фрейма на веб-странице ТСП, клиент ТСП перенаправляется на страницу оплаты на сайте ПЦ ЭТ, где он и вводит ДПК. После обработки платежа в веб-приложение ТСП отправляется подтверждение ( см. рис. 6 ниже).


3.4.3.4 Вопросы безопасности, касающиеся решений ЭТ на частично подрядной основе

Как упоминалось выше, ни одно из описанных решений на частично подрядной основе не исключает наличие рисков ИБ для ТСП, так как наличие уязвимостей на веб-сайте ТСП может привести к компрометации ДПК во время транзакции.

  • ^ Использование метода Direct Post через интерфейс API: Используя метод Direct Post через интерфейс API, ТСП не освобождается от ответственности за веб-страницу, предоставляемую клиенту, т.к. поля на странице оплаты находятся в распоряжении ТСП, и поставщику услуг от клиента напрямую отправляются только ДДК. Так как страницы оплаты принадлежат веб-сайту ТСП, они безопасны лишь в той степени, в какой безопасен весь сайт: компрометация системы ТСП может привести к компрометации ДПК.

  • ^ Встроенные фреймы: При реализации встроенных фреймов их конфигурация и управление должны исключать возможность такой модификации, при которой возможна отправка ДДК на иной, несанкционированный источник.

^ Решения со встроенными страницами оплаты: При встроенных страницах оплаты компрометация сервера ТСП может привести к перенаправлению данных, предназначенных для ПЦ ЭТ, тем самым позволяя перехватить их и украсть во время транзакции.

Во избежание подобных сценариев, ТСП, в частности, следует отслеживать изменения в системах и немедленно реагировать, чтобы привести их к состоянию, при котором они были доверенными, т.е. до момента обнаружения несанкционированных изменений. ТСП, реализующие решения на частично подрядной основе с целью снижения количества применимых к ним требований стандарта PCI DSS, должны знать о потенциальных рисках, присущих данным решениям. Для снижения вероятности атаки в данных решениях ТСП должны особо тщательно проверять веб-приложения, чтобы убедиться, что они разработаны безопасно и готовы к серьезному тесту на проникновение.

3.4.4 Решение ЭТ на полностью подрядной основе

Многим ТСП удобнее управлять своей ответственностью за соблюдение требований PCI DSS, передавая все функции хранения, обработки и передачи ДДК сторонним поставщикам услуг хостинга или ПЦ ЭТ на подрядной основе. В таком случае ТСП может использовать решение, реализованное сторонней организацией, установленное на ее стороне и находящееся под ее полным контролем и ответственностью. В состав такого решения может входить приложение ЭТ, а также хостинг серверов и инфраструктуры, предоставляемых сторонней организацией и находящихся в под ее контролем. ТСП предоставляется веб-интерфейс для доступа к сайту сторонней организации, а также для управления интернет-магазином и ведения клиентов.

О
^ Note that if the merchant has to install an application or code on a server, configure a server file, etc. for their e-commerce implementation, they should refer to Section 3.4.3, “Shared-management E-commerce Implementations,” above.
бласть применения
PCI DSS: Возможно, в данном сценарии ТСП будет достаточно заполнить «Опросный лист для самооценки А PCI DSS» (ОЛС А). В ОЛС А уменьшено количество применимых требований PCI DSS к ТСП, которые передают ПЦ ЭТ на подрядной основе все функции хранения, обработки и передачи ДДК . Более подробно об ОЛС А рассказано в следующем пункте, «Решения ЭТ на подрядной основе и ОЛС А».
3.4.5 Решения ЭТ на подрядной основе и ОЛС А

Если ТСП имеет право проходить сертификацию PCI DSS путем заполнения ОЛС и передало все функции по хранению, обработке и передаче ДПК на подрядной основе сторонним организациям, соответствующим стандарту PCI DSS (к примеру, в сценарии, описанном в пункте 3.4.4 — где ТСП использует решение ЭТ на полностью подрядной основе), то возможно, ТСП будет вправе использовать ОЛС А, который включает в себя сокращенное количество требований PCI DSS. ТСП следует выяснить у своего эквайера (эквайеров) или представителя МПС конкретные требования, необходимые для соответствия стандарту PCI DSS, а также вопрос о том, вправе ли оно использовать ОЛС в качестве способа подтверждения соответствия.

^ Использование решения ЭТ на подрядной основе и ручной ввод платежных данных: разрешен ли ОЛС?

Многие ТСП, передающие на подрядной основе транзакции ЭТ стороннему поставщику услуг, отвечающему требованиям PCI DSS, рассчитывают использовать ОЛС А для сертификации. Однако зачастую оказывается, что им по-прежнему приходится обрабатывать транзакции как с предоставлением карты, так и без предоставления карты (операции по факсу, заказы по телефону или по почте). Нередко, для удобства клиентов (например, при отсутствии у клиента доступа к Интернету), сотрудники ТСП на местах со своих компьютеров заходят на страницу заказа, установленную на сайте ТСП, и вручную проводят за клиентов транзакцию. Иногда, в целях упрощения работы сотрудников ТСП, поставщик услуг даже предоставляет специальные страницы оплаты.

В результате, когда сотрудники вводят на веб-странице через свои компьютеры данные для транзакции — вручную либо, в присутствии владельца карты, проводя (вставляя) платежную карту через (в) подключенный к компьютеру считыватель — данные компьютеры фактически становятся «виртуальными терминалами».

К ТСП, которые проводят операции при наличии карты, ОЛС А не применим, равно как и к ТСП, которые хранят, обрабатывают либо передают ДДК в электронной форме на своей территории. Вследствие того, что платежные данные вводятся вручную, область проверки на соответствие PCI DSS у таких предприятий может быть расширена, и они могут лишиться права использовать сокращенные ОЛС. Для сужения области применения PCI DSS к инфраструктуре ЭТ в подобных ситуациях, следует, как минимум, выделить в сегмент, изолированный от остальной среды обработки данных ЭТ ТСП, компьютеры, с которых вручную вводятся платежные данные. ТСП следует проконсультироваться с сертифицированным аудитором и (или) своим эквайером (розничным банком) чтобы определить, вправе ли ТСП заполнить ОЛС, и если да, то какой именно ОЛС ему подходит.
1   2   3   4   5   6

Похожие:

Электронная торговля англ e-commerce iconЛитература 4 Англ язык История Математика 5 Физкультура Англ язык...

Электронная торговля англ e-commerce iconФинансовые инструменты
Венным процессом появления новых видов ценных бумаг и финансовых операций. Сначала торговля ресурсами осуществлялась по бартеру,...
Электронная торговля англ e-commerce iconРасписание занятий
Ия учебный корпус №2 англ к филол н. Иванова Н. Н., англ. Краснянская И. И., нем. Лейба С. С
Электронная торговля англ e-commerce iconГлаголы со значением ошибочного действия в английском, русском, украинском языках
Лы типа: (1) англ mishear, рус ослышаться, укр недочути, «неверно понять вследствие ослышки», (2) англ mis-step, рус оступиться,...
Электронная торговля англ e-commerce iconПоложение о проведении кубка вызова «champion of commerce game»
Регистрация участников соревнования: 31. 01. 13 г в 20-00 в бильярдном клубе «Формула С»
Электронная торговля англ e-commerce iconИнструкция пользователя
Электронная карта: предоставление отображения несколькими способами такими, как: электронная карта, мульти-дисплей, древовидный список...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
litcey.ru
Главная страница