Электронная торговля англ e-commerce




НазваниеЭлектронная торговля англ e-commerce
страница5/6
Дата публикации06.08.2013
Размер0.57 Mb.
ТипДокументы
litcey.ru > Информатика > Документы
1   2   3   4   5   6

^ 5.7 Организация обучения всех сотрудников

  • Следует убедиться, что все сотрудники обучены безопасному использованию систем и соблюдению установленных процедур. В программу обучения должно входить повышение осведомленности о потенциальных угрозах безопасности и плане действий при возникновении подозрений на нарушение безопасности.

  • Технический персонал должен иметь навыки управления технологиями защиты информации, в том числе МЭ, цифровыми сертификатами, шифрованием SSL.

  • Следует обучить весь персонал следить за основными вопросами ИБ, например, приемами социальной инженерии, которыми пользуются злоумышленники для получения доступа к ДДК.

^ 5.8 Прочие рекомендации

  • Следует назначить специальных сотрудников, которые будут следить за всеми новостями МПС и других веб-сайтов, посвященных информационной безопасностями, и сообщать обо всех новых угрозах.

  • Следует рассмотреть возможность установки дополнительного МЭ между сервером приложений и сервером БД для снижения рисков, исходящих от подключенного к Интернету веб-сервера

  • Количество отображений номера карты следует свести к минимуму, необходимому для оформления клиентом покупки. Например, после проверки номера карты, в квитанции об оплате или товарном чеке для клиента рекомендуется не показывать полный номер карты.

^ 5.9 Рекомендации по повышению осведомленности клиентов в вопросах безопасности

Необходимо повышать осведомленность клиентов в вопросах безопасности для того, чтобы защитить их ДПК при оплате покупок в интернет-магазинах, например, можно рекомендовать следовать следующим правилам:

  • Не использовать для транзакций ЭТ общедоступные, недоверенные компьютеры. Использование таких компьютеров может быть небезопасно, и на них может быть установлено программное обеспечение, перехватывающее ДПК при вводе.

  • Не совершать покупок при подключении к незащищенной беспроводной сети (например, при подключении своего ноутбука к общедоступной беспроводной сети), если на компьютере нет персонального МЭ.

  • При вводе ДПК в компьютер в общественных местах убедиться в отсутствии подсматривающих.

  • Устанавливать на свой персональный компьютер актуальные обновления безопасности.

  • Перед подключением к Интернету обязательно убедиться, что на компьютере работает антивирусное ПО с актуальной базой вирусных сигнатур и определений.

  • Перед вводом ДПК обязательно убедиться в наличии признаков защиты подключения к веб-странице. Признаками такой защиты могут быть, например, префикс HTTPS перед адресом сайта, значок в виде замочка в верхней или нижней части браузера, зеленая подсветка адресной строки, значок пломбы.

  • Использовать надежные пароли, которые трудно отгадать (например, не использовать в качестве пароля свой день рождения или свое имя).

  • Хранить свои пароли в недоступном месте, например, не записывать их на листках бумаги, прикрепленных к компьютеру (особенно находясь в общественных местах), и не хранить их в файле на компьютере, который находится в общем доступе с другими пользователями.


^ Приложение A. Применение требований PCI DSS к инфраструктуре ЭТ

В данном разделе приведены общие рекомендации для ЭТ о порядке реализации основных категорий требований PCI DSS.

В целом, требования PCI DSS распространяются и на инфраструктуры ЭТ как относящиеся к ТСП, так и на используемые ими ПЦ. Чтобы понять, какие из требований относятся к ТСП, а какие — к ПЦ ЭТ, ТСП следует определить и задокументировать (например, в виде обычной схемы) свою инфраструктуру ЭТ, включив в нее все задействованные системы и все ДДК, передаваемые сторонним организациям. Независимо от выбранного ТСП решения ЭТ и от объема ответственности, переданного сторонней организации ТСП на подрядной основе, между ТСП и ПЦ ЭТ остается подключение, которое может быть скомпрометировано. Наличие четкого представления о своей инфраструктуре ЭТ и о потоках ДДК при ведении регулярного мониторинга своих систем, упрощает ТСП своевременное обнаружение несанкционированных изменений.

Примечание. Настоящее приложение носит исключительно рекомендательный характер. Следует помнить, что должны выполняться ВСЕ применимые требования PCI DSS. Данные рекомендации определяют лишь часть потенциальных вопросов, которые следует учитывать при формировании инфраструктуры ЭТ.

^ Рекомендации в данном приложении не заменяют собой, не отменяют и не дополняют требования PCI DSS. Все рекомендации носят лишь справочный характер.




^ Требования PCI DSS

Рекомендации для ЭТ










^ Построение и обслуживание безопасной сети

1. Установить и обеспечить функционирование МЭ для защиты ДДК

Необходимо установить МЭ между веб-сервером и сетью Интернет, а также между веб-сервером и внутренней сетью, в которой находятся серверы приложений и БД.

МЭ и DMZ должны быть настроены таким образом, чтобы на веб-сервер поступал только разрешенный трафик из сети Интернет, а с веб-сервера во внутреннюю частную сеть поступал только необходимый трафик. Интернет-подключения ко внутренним узлам и сетям в обход DMZ должны быть строго запрещены. Системные компоненты, на которых хранятся ДДК, необходимо размещать во внутреннем сегменте сети, отделенном от DMZ и других недоверенных сетей.




2. Не использовать пароли и другие системные настройки безопасности, заданные производителем по умолчанию

При использовании услуг на подрядной основе возникает множество уровней административного доступа и точек доступа к ДДК. Все ответственные стороны и владельцы систем должны быть идентифицированы и документально зафиксированы. Для определения и документирования сфер ответственности каждой из сторон, рекомендуется воспользоваться Приложением B настоящего документа.

^ Защита ДДК

3. Обеспечить безопасное хранение ДДК

Задокументируйте все точки присутствия ДДК в инфраструктуре ЭТ (а также меры их защиты), где они хранятся, обрабатываются и передаются, включая ДДК, находящиеся у поставщиков услуг (в т.ч. хостинга).

Сбору и хранению подлежит только минимальное количество данных, необходимое для оформления транзакции ЭТ, при этом период их хранения не должен превышать время, необходимое для бизнес-процессов ТСП.

Не допускается использовать или позволять использовать технологии ЭТ, при которых ДДК и иная конфиденциальная информация хранятся в открытом виде в файлах cookies или временных файлах.




4. Использовать шифрование при передаче ДДК через сети общего пользования

При передаче ДДК по сетям общего пользования (например, по сети Интернет) необходимо использовать шифрование через SSL, VPN или IPSec — например, при передаче между клиентом, веб-сервером ТСП и (или) платежными шлюзами, а также между ТСП и различными поставщиками услуг хостинга. Аналогичное шифрование можно применять при передаче критичной информации (например, учетных записей, данных о клиенте или учетной карточки клиента), а также при передаче ДДК по внутренней сети ТСП.

Примечание. Обычные МЭ могут не поддерживать возможность анализа шифрованного трафика. Если адрес и порт назначения соответствуют критериям, указанным в политике МЭ, трафик будет пропущен. Для анализа содержимого шифрованного трафика рекомендуется использовать пакетные веб-фильтры прикладного уровня или технологии обнаружения вторжений.

Если решение ЭТ поддерживает функцию чата или другие технологии обмена сообщениями, следует предупредить клиента (перед началом сеанса) — например, с помощью предупреждающего сообщения — что клиенту не рекомендуется отправлять ДДК по незащищенным каналам связи.

В случае сервис-ориентированных решений следует убедиться, что связующее ПО для обработки сообщений использует протоколы SSL/TLS (или иные защитные меры согласно требованию 4.1 PCI DSS).



1   2   3   4   5   6

Похожие:

Электронная торговля англ e-commerce iconЛитература 4 Англ язык История Математика 5 Физкультура Англ язык...

Электронная торговля англ e-commerce iconФинансовые инструменты
Венным процессом появления новых видов ценных бумаг и финансовых операций. Сначала торговля ресурсами осуществлялась по бартеру,...
Электронная торговля англ e-commerce iconРасписание занятий
Ия учебный корпус №2 англ к филол н. Иванова Н. Н., англ. Краснянская И. И., нем. Лейба С. С
Электронная торговля англ e-commerce iconГлаголы со значением ошибочного действия в английском, русском, украинском языках
Лы типа: (1) англ mishear, рус ослышаться, укр недочути, «неверно понять вследствие ослышки», (2) англ mis-step, рус оступиться,...
Электронная торговля англ e-commerce iconПоложение о проведении кубка вызова «champion of commerce game»
Регистрация участников соревнования: 31. 01. 13 г в 20-00 в бильярдном клубе «Формула С»
Электронная торговля англ e-commerce iconИнструкция пользователя
Электронная карта: предоставление отображения несколькими способами такими, как: электронная карта, мульти-дисплей, древовидный список...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
litcey.ru
Главная страница