вторник, 13 августа 2019 г.

В ожидании PCI DSS 4.0

Уже этой осенью обещают представить черновик стандарта PCI DSS 4.0 для ограниченной аудитории.

Стандарт будет представлен для обсуждения, но вероятно доступен для QSA. А так же в рамках рабочих групп по направлениям. 

Итоговый PCI DSS 4.0 планируется представить вначале 2021 года. 
Все 12 разделов стандарта останутся. Возможно в него войдут рекомендации которые уже давно требуют регламентирования, а именно. 

  • Длинные BIN и PIN.
  • Системы контейнеризации.
  • Замена устаревших формулировок и подходов.

Также планируется добавить риск ориентированный подход в PCI DSS 4.0

QR коды для оплаты и технологии блокчейн пока, вероятно, остаются за бортом стандарта.    

PA DSS пока поддерживается, но на замену ему готовится новый стандарт разработки ПО. 

Более детально о планируемых изменениях в группе стандартов PCI SSC можно посмотреть в презентации Jeremy King (International Director – Europe PCI Security Standards Council) которая была представлена в рамках конференции #PAYMENTSECURITY 2019

Отдельно несколько интересных бонусных презентаций:




вторник, 18 июня 2019 г.

Блоги и сообщества - невыгодно или неинтересно?

Пересмотрел блоги, сообщества и профильные издания и из 100 ресурсов жив только каждый пятый. То есть за 8 лет умерли 80% блогов. Вероятно, авторы так и не научились на них зарабатывать, а тратить время впустую не захотели. Что мотивирует писать оставшихся? Есть ли новые форматы - подкасты, публикации, каналы в Telegram, группы в Viber?
Если я кого-то забыл - дополните пожалуйста список, вероятно и новые ресурсы тоже должны были бы появиться.

пятница, 3 мая 2019 г.

Согласие на обработку данных и права субъекта данных (GDPR)

Вот такой замечательный материал по части GDPR в ключе согласия на обработку персональных данных доступен на русском языке. Рекомендую с ним детально ознакомиться, а может быть даже и перечитать дважды. Очень детально с пояснениями указаны особенности и нюансы.
Также есть и вторая статья данного авторства о работе с персональными данными сотрудников и контрагентов. Очень хороший материал.
Кроме того вот информация по правам субъекта данных в разрезе GDPR от другого специалиста.
Самое время доделать GDPR в тех местах, которые не были затронуты в первичном аврале год назад.

вторник, 5 марта 2019 г.

ICO Chat

Кто еще не успел воспользоваться - рекомендую ICO Chat.
Тут можно получить ответы на практически любые вопросы как по требованиям GDPR так и конкретным ситуациям с которыми вы столкнулись.
По словам консультантов, они не хранят ваши персональные данные (или данные вашей компании), потому можно смело задавать вопросы, без опасения, что вы уже в очереди на аудит, после перечня вопросов.
А консультироваться и придерживаться требований GDPR стоит. Вот например новость о возможных штрафах гиганта, и сумма может быть фантастической.

среда, 6 февраля 2019 г.

GDPR для Калифорнии или CCPA

California Consumer Privacy Act принят 28 июня 2018 года и обязателен к выполнению с 1 января 2020 года. Можно ли говорить, что это первая ласточка в сфере защиты клиентских персональных данных в США.
Нельзя сказать, чтобы в США не было отдельных требований к обработке персональных данных, особенно в медицинской и финансовой сфере. Но данный закон позволит клиентам распоряжаться своими данными. Удалять, запрашивать информацию о их хранении и использовании, запрещать продажу.
Есть и отличия от GDPR. В первую очередь, это конечно география использования. Но и право для бизнеса установить другую цену товара или услуги или предоставлять товары услуги другого качества для клиентов желающих воспользоваться правами такого закона.
Также штраф за каждое умышленное нарушение составляет 7500 долларов США, что на первый взгляд значительно более гуманно чем 4% оборота у GDPR (при этом есть еще 30 дней на устранение). Хотя если предположить, что утекли данные о 1000 клиентов - значит ли это, что сумма штрафа будет 7,5 млн. долларов? На этот вопрос вероятно будет отвечать Генеральный прокурор штата Калифорния.
Сфера применения - для компаний Калифорнии с прибылью более 25 млн. долларов США, обработка данных более 50 000 клиентов (в том числе и устройств) или получают более 50% прибыли от продажи персональных данных. В целом весьма гуманно и значительно более ориентированно на бизнес чем GDPR. Посмотрим как будет развиваться данный закон и затронет ли он другие штаты США.
В одном можно быть уверенным, законодательного регулирования в сфере защиты персональных данных будет становиться в разных странах мира все больше. А это потребует от компаний быть готовыми выполнять данные требования и внедрять процессы защиты персональных данных.
Более детально с основной информацией по CCPA можно ознакомиться тут.
Если вам нужно содействие при построении процессов соответствия требованиям GDPR или PCI DSS напишите на почту.

среда, 9 января 2019 г.

Штрафы по GDPR. 180 дней террора?

Прошло уже полгода с момента вступления в силу требований GDPR (General Data Protection Regulation). За это время количество утечек судя по публикациям в СМИ не только не уменьшилось, но и даже возросло (или осталось таким же, но возросло количество информации о данных инцидентах?). К чему это привело для компаний? Были ли штрафы и какого размера?
Прецеденты действительно были. Самые известные из них.
Букмекерская контора в Австрии получила штраф за мониторинг общественного пространства. Штраф небольшой - чуть менее 5 тыс Евро. Но прецедент.
Второй инцидент - это публикация пользовательских данных социальной сети в Германии. И хотя штраф не так и велик - 20 тыс Евро, учитывая компрометацию почти 2 млн. пользовательских данных, это говорит о серьезности в реагировании на инциденты.   
Еще более серьезно обстоят дела с больницей в Португалии. За нарушение целостности и конфиденциальности, а также принципов минимизации данных получился штраф во внушительные 400 тыс. Евро. Что уже является очень существенной суммой. При чем штрафы были выписаны по каждому типу нарушения и просуммированы (150+150+100).  
Также давайте вспомним недавнюю ситуацию с утечкой данных в сети отелей или утечку из компании технологической сферы. По данным эпизодам решение пока не вынесено, но учитывая, что и в менее масштабных случаях штрафы применены, вероятно и эти, и другие случаи повлекут за собой разбирательства и материальные взыскания.    
И несмотря на то, что на данный момент штрафов еще не очень много или они не исчисляются миллионами, прецеденты есть и их число будет расти.
В связи с этим, все те, кто по какой-то причине еще не привели процессы и документацию в соответствие требованиям GDPR это желательно сделать в самые сжатые сроки. Если вам нужна консультация по данному вопросу - напишите на почту.  
x

суббота, 24 ноября 2018 г.

PCI Mobile Payment Acceptance Security Guidelines


Сегодня речь пойдет о документе PCI Mobile Payment Acceptance Security Guidelines.
Документ размером всего два десятка листов и что полезного можно в нем почерпнуть.

1. Документ определяет потребительские электронные карманные устройства, которые предназначены не только для платежей и обработки транзакций (проще - смартфоны, планшеты).

2. Мобильное устройство будет считаться частью CDE.

3. Выделены следующие риски:
- Данные учетных записей поступающие на устройство. 
- Данные учетных записей находящихся на устройстве.
- Данные учетных записей покидающие устройство.

4. Рекомендации
- Применение щифрования в рамках хранения и передачи данных и каналов передачи данных.
- Уделено внимание предотвращению утечек данных.
- Уделено внимание несанкционированному доступу к устройству.
- Контроль привилегий и управление ими.
- Требования к разработке и тестированию, анализ уязвимостей.
- Антивирусное ПО и доверенные ресурсы для распространения.
- Требования к аудиту и маскирование PAN.

5. Много ссылок на выполнение требований пунктов стандарта PCI DSS. Весьма вероятно, что перечисленные рекомендации попадут в следующую версию стандарта PCI DSS 4.0.

Данный документ будет полезен для ознакомлению командам мобильной разработки.

пятница, 26 октября 2018 г.

PCI Community Meeting


16-18 октября в Лондоне прошел PCI Community Meeting (мероприятия, которые еще запланированы на 2019 год доступны тут).

В рамках конференции были выступления как руководства и руководителей направлений, так и QSA c крупными заказчиками. В целом доклады по теме, разной степени информативности, но едут туда совсем не за этим. А за возможностью пообщаться с представителями платежных систем и задать вопросы представителям PCI Council.

Из приятного. 
Были оглашены планы по PCI DSS 4.0. В ближайшее время соберут пожелания от QSA, после чего будут согласовывать драфт. Концептуальных изменений ждать не стоит, но требования безусловно обновят (надеюсь, что в части маскирования карт с 8 символьными BIN тоже что-то будет). До выхода самого стандарта еще минимум год.
Лично для меня было полезным обнаружение документа Guideline: PCI Mobile Payment Acceptance Security Guidelines . Это пока только Guideline и когда он будет принят, пока не ясно. Но почитать и даже учесть в разработке весьма стоит.

Из неприятного.
Представители PCI Council с большим трудом отвечали на некоторые вопросы о документах, сроках их внедрения и с нежеланием давали разъяснения, предлагая все читать на официальном сайте. В след им примерно аналогично говорили представители платежных систем, в частности о длинных BIN и PAN, которые меня и еще нескольких коллег интересовали.

Изюминкой на торте стало полное игнорирование тем связанных с криптовалютами, как будто их нет. Вполне возможно, что игнорирование, это согласованная позиция.    

суббота, 25 августа 2018 г.

PCI DSS 3.2.1 Есть ли хоть что-то новое?


В свете выполнения требований GDPR незаметно прошла публикация новой версии PCI DSS 3.2.1.

Новой версию можно назвать, только по причине появления лишней единицы в названии, так как по сути практически ничего нового не появилось.

Сам стандарт PCI DSS 3.2.1 доступен тут.
А изменения можно посмотреть тут.

Все изменения целиком помещаются на лист А4 в табличной форме и носят абсолютно косметический характер, отчасти устраняя помарки стандарта версии 3.2.

Выход данной версии (или скорее подверсии) стандарта абсолютно ничего не меняет и не на что не влияет. Можно как и раньше готовиться по версии 3.2.  

воскресенье, 22 июля 2018 г.

40 дней по GDPR?

С момента активности по GDPR в преддверии 25 мая о GDPR слышно все меньше и меньше.
Что это - летнее затишье и подготовка внутри или не увидев штрафов его просто игнорируют?
Какая же его дальнейшая судьба?

Посмотрим, что же интересного произошло за два месяца.
Сразу перед 25 мая была размещена интересная статья 
Перед вступлением в силу GDPR много Компаний потратили время и ресурсы на некий базовый уровень соответствия, дабы не ударить в грязь лицом и не попасть на штрафы. А большие игроки, вероятнее всего, потратили ресурсов значительно больше.

Пройдемся по информации которая попалась мне на глаза за это время:
1. Тут можно посмотреть полезную информацию по SA в разных странах.  Много материалов, правда часть на не самых популярных языках, но если покопаться можно найти интересную информацию.
2. “БДИ” посвятила GDPR первую полосу журнала.
3. Некоторые заблуждения описаны тут.
4. Хорошая статья с опозданием и еще одна.

Также стоит ознакомиться с двумя презентациями по данной теме тут и тут   

Странно, что по большей части все написанное нужно было внедрить еще в мае, а статьи написаны для тех кто не готов и уже не соответствует требованиям.

Из моего опыта, самые проблемные места
1. Полное удаление информации про клиента. А если логи понадобятся в рамках судебных заявлений клиента? А мы его как бы и не знаем. А тот ли клиент запрашивает удаление? Есть вариант - хешировать данные таким образом, что-бы при повторном обращении можно было как-то все же идентифицировать клиента и при этом не сохранять его данные. Что касается идентификации то самый простой вариант - автоматизация в личном кабинете после авторизации. Но я слышал и про более жесткие варианты - письмом по почте с требованием про удаление данных от нотариально заверенной личности.
2. Рассылки. Маркетинг всегда жаждет клиентов. Ему никто KPI не корректировал не смотря ни на какой GDPR. Тут явно конфликт с бизнес целями.  
3. Атаки конкурентов. Создание фейковых аккаунтов, запросов на удаление и даже вброс с архивами перс данных.
4. Как вычищать персональные данные из резервных копий и бекапов логов?
5. Борьба с неавторизованным и не документированным распространением данных внутри и за пределы Компании.

Рекомендуется поменьше паниковать, привести в соответствие базовые политики безопасности, провести аудит хранимых данных и подготовить обоснование сроков и длительности их хранения. В целом на данном этапе этого достаточно. Мой опыт показывает, что в рамках подготовки к выполнению требований GDPR значительно возрастает уровень безопасности данных и процессов небольших и средних компаний. Так как до этого, этому вопросу могли и вовсе не придавать значения.

Если вы тоже хотите навести порядок внутри, то сейчас самое время. Буду рад помочь. Моя почта.