Краткая информация об изменениях в стандарте PCI DSS 4.0.
среда, 14 октября 2020 г.
суббота, 5 сентября 2020 г.
GDPR - все самое полезное
Собрал все самые полезные публикации касающиеся GDPR.
1. GDPR до 18 мая 18 года.
2. Как не потерять свой бизнес из-за GDPR.
3. ICO Chat.
4. Все самое нужное по GDPR.
5. GDPR для Калифорнии или CCPA.
6. Dubai International Financial Centre (DIFC) Data Protection Law No. 5 of 2020.
7. Штрафы.
1. GDPR до 18 мая 18 года.
2. Как не потерять свой бизнес из-за GDPR.
3. ICO Chat.
4. Все самое нужное по GDPR.
5. GDPR для Калифорнии или CCPA.
6. Dubai International Financial Centre (DIFC) Data Protection Law No. 5 of 2020.
7. Штрафы.
Буду рад, если данная информация окажется полезной при подготовке.
Если возникнут вопросы - пишите на почту, буду рад ответить.
понедельник, 24 августа 2020 г.
Криптовалюты и фиатные платежные карты
В прошлом месяце Binance подтвердила выпуск платежной карты в партнерстве с Swipe.
Еще в начале года Coinbase получила статус VISA Principal. Что сделало возможным дальнейший выпуск Coinbase Card.
У VISA даже есть отдельная программа Fintech Fast Track которая обеспечивает ускоренную интеграцию с блокчейн стартапами.
Все это в свою очередь даст возможность платить фиатными деньгами моментально и без посредников. А также осуществлять всевозможные переводы.
Данные нововведения безусловно позволят значительно проще использовать криптовалюты для любых нужд с меньшим количеством ограничений. И как видно, платежные системы вовсе не собираются “воевать” с конкурентами на криптовалютном поле, а напротив успешно с ними сотрудничают.
Но есть и альтернативная точка зрения.
вторник, 21 июля 2020 г.
Dubai International Financial Centre (DIFC) Data Protection Law No. 5 of 2020
В 2020 году в ОАЭ планируется внедрение нового закона о защите данных, который объединит в себе требования для DIFC и лучшие международные практики - Dubai International Financial Centre (DIFC) Data Protection Law No. 5 of 2020.
Еще одно событие, которое говорит об актуальности законодательства в данной сфере в разных регионах мира, а не только GDPR для Европы или CCPA для США.
Штрафы.
В топе по штрафам за прошлый год известные компании - British Airways (204 млн евро), Marriott (118 млн. евро), Google (50 млн евро) и пр.
Данные 267 млн. пользователей в сети Facebook были обнародованы уже в этом году.
Посмотрим, на каком месте по штрафам в 2020 году окажется Facebook.
Криптовалютный фонд Trident Crypto Fund тоже “потерял” 266 тыс. пользователей.
И таких инцидентов все больше и больше.
Все штрафы можно отслеживать тут.
И таких инцидентов все больше и больше.
Все штрафы можно отслеживать тут.
Ну и в дополнение интересный материал - как устроен черный рынок данных.
вторник, 30 июня 2020 г.
Карты вместо GDPR
В этот раз хотел написать о GDPR и его эволюции, в частности в странах Персидского залива, немалых штрафах за минувший год и множестве миллионных утечек, но планы изменились из-за Payoneer и Wirecard.
Ernst & Young в рамках аудита не досчиталась 1,9 млрд у Wirecard. Как следствие к 19 июня (как крайнему сроку) компания не опубликовала отчетность, что привело к резкому падению стоимости акций компании.
Через неделю FCA и вовсе приостановил деятельность Wirecard Card Solutions Limited. СЕО арестовали. А компания подала на банкротство.
И вот в это время проблема докатилась и до Payoneer.
Операции по картам остановлены, а вывести средства нет возможности.
Сейчас уже есть информация, что с 6 июля можно будет выводить средства в обычном режиме.
Ну и напоследок. Все это могло длиться давно, E&Y “обманывали” десятилетиями? И только в прошлом году аудиторами KPMG были обнаружены проблемы. Не приведет ли это к тому что четверка станет тройкой, как ранее четверкой стала пятерка?
А у вас сколько платежных провайдеров и есть ли BCP (Business continuity plan) на такой случай?
среда, 10 июня 2020 г.
SPoC и CPoC
Давно не было новостей про PCI DSS. А это мой самый любимый стандарт. С одной стороны более сложный чем большинство других, так как более конкретный в требованиях и их проверках. С другой стороны давно знакомый, ещё c версии PCI DSS 1.1 в 2008 году.
В этом году мы уже должны увидеть PCI DSS 4.0. В предварительной версии, как я писал, не могу сказать, что он содержит уж очень много изменений.
Посмотрим по итогу. Ждать осталось не долго.
А пока есть время хочу обратить внимание, что PCI SSC уже достаточно давно опубликовал новые требования для операций, при которых покупатель вводит PIN на мобильных устройствах продавца - Software-based PIN Entry on COTS(SPoC)™. Это было (и частично остается) актуальным и своевременным решением, учитывая повсеместное использование планшетов и смартфонов. Но кардридер и софт все же придется купить. Детальнее.
И более новый стандарт, который призван обеспечить безопасность при приеме бесконтактных платежей - PCI Contactless Payments on COTS (CPoC™). В этом случае уже нет необходимости в дополнительном оборудовании.
Ну и немного информации, что бывает если не уделять должного внимания безопасности карточных данных - тут.
Если для вас актуальный вопросы внедрения PCI DSS - больше полезной информации вы можете найти тут.
понедельник, 18 мая 2020 г.
FCA EMI (Financial Conduct Authority Electronic Money and Payment Institutions)
В случае если вы планируете работать с электронными платежами, то получение лицензии FCA EMI (Financial Conduct Authority Electronic Money and Payment Institutions) в Британии позволит вам выполнять такие задачи на территории Европейского экономического пространства (с возможностью дополнительной сертификации).
Стоимость пошлины от 1000 фунтов при годовом обороте до 3 млн. фунтов и 5000 фунтов если больше. Потребуется юридическое лицо в Британии с уставным капиталом 350 тыс евро.
Процесс получения лицензии законодательно определен и составляет 12 месяцев.
В рамках подготовки документов потребуется информация о процессах и системах безопасности, отчетности и аудита.
среда, 22 апреля 2020 г.
Растущие риски удаленной работы и как с этим справиться
Прошло уже больше месяца после начала карантина, а компании перевели на удаленную работу сотрудников.
За это время большинство компаний:
1. Начали экономить и остановили часть проектов.
2. Перевели сотрудников на удаленную работу.
3. Урезали бонусы и выплаты.
4. Ограничили или отменили внешние обучения.
5. Остановили набор сотрудников, а некоторые и вовсе сократили штат.
Как следствие
1. Периметр информационной инфраструктуры размыт.
2. Количество утечек растет.
3. Сотрудники менее лояльны.
4. Бюджеты на решения и функции безопасности сокращаются.
5. Риски увеличиваются.
Но у хакеров таких проблем нет, они с радостью пользуются ситуацией, новыми возможностями и новыми уязвимостями систем и инфраструктуры.
3. Проникновение в инфраструктуру (1).
Хотелось бы написать, что для решения актуальных вопросов безопасности нужно внедрять DLP, IDM, SSO, BYOD и прочие мудреные и дорогие системы, но в ограниченных сроках и уменьшающихся бюджетах для большинства компаний это не реально.
Что же реально можно сделать?
1. Пересмотреть или провести анализ рисков.
2. Проанализировать и описать новые процессы.
3. Провести обучения персонала требованиям безопасности.
4. Уделить дополнительное внимание мониторингу инцидентов.
5. Обратить внимание как организован удаленный доступ.
6. Построить процессы передачи информации.
7. Попросить у производителей бесплатные лицензии на ограниченный период, если они предоставляют такую возможность. Рассмотреть внедрение бесплатных или условно бесплатных решений (но не решений с взломанными или ворованными ключами). Ничего совсем бесплатно не бывает - вы просто сами таким образом установите троян в своей инфраструктуре.
7. Попросить у производителей бесплатные лицензии на ограниченный период, если они предоставляют такую возможность. Рассмотреть внедрение бесплатных или условно бесплатных решений (но не решений с взломанными или ворованными ключами). Ничего совсем бесплатно не бывает - вы просто сами таким образом установите троян в своей инфраструктуре.
8. Внедрить везде где используется удаленный доступ - 2FA.
9. Отдать часть функций сотрудникам смежных сфер, ресурсы которых освободились, если того позволяет их компетенция. Например, провести аудит учетных записей систем, проектному менеджеру или qa вполне по силам. Возможно, в будущем из кого то из них получится профильный специалист.
10. Привлечь специалиста по безопасности на контрактной основе с четко оговоренными KPI, что эффективнее и дешевле, чем специалист в штате.
Также будет полезно прочесть предыдущую статью по данной теме.
среда, 8 апреля 2020 г.
Лицензия DLT для “криптокомпаний”
Около двух лет назад, с 1 января 2018 года для компаний, которые работают с технологиями блокчейн доступна лицензия DLT, которая предоставляется комиссией по финансовым услугам Гибралтара (GFSC).
Требования содержат в себе ряд финансовых и репутационных требований, а также требований по взаимодействию с клиентами, раскрытии их данных и пр.
Отдельно выдвигается ряд требований к информационным системам и информационной безопасности компании. Особенно в части возможных расследований утечек и иного клиентского ущерба. Кроме того, требуется наличие процессов KYC для верификации клиентов и противодействия мошенничеству.
Стоимость - 2000 фунтов для рассмотрения заявки.
Лицензирование от 10 до 30 000 тысяч фунтов.
Лицензирование от 10 до 30 000 тысяч фунтов.
Как правило получение такой лицензии занимает от 6 месяцев до 1 года.
Получение данной лицензии позволяет как стандартизировать процессы, так и показать серьезность данного вида деятельности для клиентов.
суббота, 21 марта 2020 г.
Пока все дома. Безопасность удаленной работы.
По всему миру сотрудники массово переводятся на работу из дома, как по причине карантина, так и в рамках сокращения издержек. Безусловно это самый массовый рост удаленной работы за всю историю. Но не стоит забывать о угрозах, которые скрываются в данном направлении.
Ниже я описал основные моменты на которые стоит обратить внимание и что можно предпринять, чтобы минимизировать риски в данных обстоятельствах.
ПК сотрудника. На ПК сотрудника, личный он или корпоративный должно ОБЯЗАТЕЛЬНО стоять антивирусное ПО. Без него время заражения ПК с подключением к глобальной сети Internet исчисляется часами. Также рекомендовано использовать персональные межсетевые экраны.
Программы удаленного доступа. Например, одна из самых популярных: TeamViewer - может быть уязвима в ряде версий. Сторонний человек может получить доступ к вашему ПК и выполнить действия для вывода денег или краже информации. Если вам нужно настраивать ПК удаленно пользуйтесь только последней официальной версией с включенным 2 FA. И вообще откажитесь от не лицензионного ПО на ПК с критичной или финансовой информацией, так как бесплатно это значит что кто-то за это платит. В лучшем случае это реклама или майнинг, в худшем троян, который ворует у вас информацию и деньги.
Распространение информации. Передавая информацию для обработки сотрудникам на личных ПК, вы сильно расширяете периметр ее обращения. И вероятность ее утечки к конкурентам как преднамеренно, так и случайно очень сильно возрастает. Контролируйте передачу критичной информации. Возможно стоит рассмотреть возможность подключения к терминальным серверам без права копирования, для обработки таковой информации. Вариант с предоставлением ноутбука с ограниченными правами тоже возможен, хоть и является менее эффективным.
Передача информации. Следует помнить, что вся передаваемая информация на флеш накопителях или по почте должна быть зашифрована. Можно использовать контейнеры Truecrypt, создавать запароленные архивы или использовать PGP. В любом случае это должна быть шифрованная передача информации любыми каналами - флеш накопитель, почта или мессенджеры. В противном случае не один канал не гарантирует безопасности передачи данных.
Сервисы. Если вы используете Google Docs озаботьтесь кому и на какой срок вы предоставляете доступ к документам. Если пользуетесь почтой, это должна быть именно корпоративная почта. Настоятельно рекомендую включить двухфакторную аутентификацию (2FA) для доступа ко всем важным сервисам.
Правовые аспекты. Вы не можете просто поставить на ПК сотрудника кейлогер, чтобы смотреть, что он делает или включить камеру. Это должно быть письменно согласовано с сотрудником. И в целом, если вы используете такие методы, то возможно это говорит о неправильной оценке эффективности сотрудника (KPI) и требуется приложить усилия для их корректирования. Также в рамках использования общедоступных сервисов и приложений поинтересуйтесь договором публичной оферты и правовыми аспектами договора.
Непрерывность бизнеса. Если у вас не внедрены процессы BCM (процессы непрерывностью бизнеса) то сейчас самое время озаботится этим вопросом. Описать процессы и подготовить планы реагирования. А если таковые есть, то это отличная возможность их протестировать. И начать стоит, например, с проверки систем бекапирования.
ПК сотрудника. На ПК сотрудника, личный он или корпоративный должно ОБЯЗАТЕЛЬНО стоять антивирусное ПО. Без него время заражения ПК с подключением к глобальной сети Internet исчисляется часами. Также рекомендовано использовать персональные межсетевые экраны.
Программы удаленного доступа. Например, одна из самых популярных: TeamViewer - может быть уязвима в ряде версий. Сторонний человек может получить доступ к вашему ПК и выполнить действия для вывода денег или краже информации. Если вам нужно настраивать ПК удаленно пользуйтесь только последней официальной версией с включенным 2 FA. И вообще откажитесь от не лицензионного ПО на ПК с критичной или финансовой информацией, так как бесплатно это значит что кто-то за это платит. В лучшем случае это реклама или майнинг, в худшем троян, который ворует у вас информацию и деньги.
Распространение информации. Передавая информацию для обработки сотрудникам на личных ПК, вы сильно расширяете периметр ее обращения. И вероятность ее утечки к конкурентам как преднамеренно, так и случайно очень сильно возрастает. Контролируйте передачу критичной информации. Возможно стоит рассмотреть возможность подключения к терминальным серверам без права копирования, для обработки таковой информации. Вариант с предоставлением ноутбука с ограниченными правами тоже возможен, хоть и является менее эффективным.
Передача информации. Следует помнить, что вся передаваемая информация на флеш накопителях или по почте должна быть зашифрована. Можно использовать контейнеры Truecrypt, создавать запароленные архивы или использовать PGP. В любом случае это должна быть шифрованная передача информации любыми каналами - флеш накопитель, почта или мессенджеры. В противном случае не один канал не гарантирует безопасности передачи данных.
Сервисы. Если вы используете Google Docs озаботьтесь кому и на какой срок вы предоставляете доступ к документам. Если пользуетесь почтой, это должна быть именно корпоративная почта. Настоятельно рекомендую включить двухфакторную аутентификацию (2FA) для доступа ко всем важным сервисам.
Правовые аспекты. Вы не можете просто поставить на ПК сотрудника кейлогер, чтобы смотреть, что он делает или включить камеру. Это должно быть письменно согласовано с сотрудником. И в целом, если вы используете такие методы, то возможно это говорит о неправильной оценке эффективности сотрудника (KPI) и требуется приложить усилия для их корректирования. Также в рамках использования общедоступных сервисов и приложений поинтересуйтесь договором публичной оферты и правовыми аспектами договора.
Непрерывность бизнеса. Если у вас не внедрены процессы BCM (процессы непрерывностью бизнеса) то сейчас самое время озаботится этим вопросом. Описать процессы и подготовить планы реагирования. А если таковые есть, то это отличная возможность их протестировать. И начать стоит, например, с проверки систем бекапирования.
Если у вас есть вопросы или необходима консультация по вопросам безопасности - обращайтесь на почту, буду рад помочь.
Подписаться на:
Сообщения (Atom)