среда, 11 декабря 2019 г.

Все самое нужное по GDPR

1. Вышел обновленный перевод GDPR - тут.

2. Много полезной информации по GDPR - тут.

3. Самоопросники на сайте ICO - тут.

4. Штрафы GDPR - тут.

5. Актуальное по GDPR - тут.

Бонус.

воскресенье, 17 ноября 2019 г.

Взломы криптовалютных бирж

Вчера я читал презентацию и в рамках доклада приводил ссылки
на информационные ресурсы по взлому криптобирж за последнее время.
Так как было много просьб опубликовать эту информацию - публикую.
Ниже вы можете найти некоторые ссылки на ресурсы и публикации по взлому криптовалютных
бирж - 1  2  3

Вот визуализация данных одной из публикаций

Или вот еще интересные данные
Вообщем читайте первоисточники, там интересно.

воскресенье, 10 ноября 2019 г.

Длинный BIN на стандартном PAN

В данной статье хотел бы поделиться очень коротким и простым, но очень полезным по моему мнению документом.

Вопрос длинных BIN на стандартной длине номера карты (16) с точки зрения PCI DSS не так и
просто решить. PCI DSS разрешает оставлять 6 первых и 4 последних цифры номера карты и
никаких других  рекомендаций не дает. Возможно, будут рекомендации в PCI DSS 4.0 но пока их
нет. От представителей платежных систем я также не смог получить детальных рекомендаций. 
Есть рекомендации отдельно от VISA и MASTERCARD как поступать в случае более
длинных BIN (7+) на длинных номерах карт (17+). Но как поступать с длинными BIN на
стандартных 16 цифрах не всегда понятно. 

Решение очень простое и весьма логичное - оставлять суммарное количество не маскированных
цифр таким же, как того требует стандарт - 10. Но вместо 6+4 использовать, например 8+2. Да, это повышает вероятность коллизий среди пользователей одного банка, но зато сохраняет стойкость.
Кроме того, в разных процессах зачастую требуется разная информация. И там, где нужен полный
BIN возможно вовсе не нужны последние цифры карты (например, для определения через какой платежный шлюз направить транзакцию для более выгодной комиссии). А для идентификации пользователя может быть вполне достаточно классических 6+4. 

Ну и стоит помнить, что нужно принять меры для невозможности сопоставления данных одной
карты с разными маскированными элементами. 


воскресенье, 29 сентября 2019 г.

GDPR. Штрафы

Несмотря на неверие в полноценное внедрение GDPR и последующие штрафы, в том числе и мое, не только количество утечек но и количество штрафов за такие деяния или бездеятельность неуклонно растет. 

На официальном ресурсе ICO нашел занимательную информацию по штрафам - оригинал.

1. Используйте шифрование при хранении информации. 150 000 фунтов штрафа за утерю DVD диска с не зашифрованной информацией. 80 000 фунтов штрафа за украденную карту памяти. 150 000 фунтов за утерю носителей резервных копий с персональными данными.

2. Используйте шифрование при передаче информации. 120 000 фунтов за ошибку в адресе получателя при отправке электронной почты. Информация была не зашифрована. 75 000 фунтов за передачу персональных данных по ФАКСУ (его еще используют :-)) ошибочному получателю.  

3. Используйте шифрование при обработке информации. 150 000 фунтов за потерю двух не шифрованных ноутбуков с персональными данными. 

Если вы все еще думаете, стоит ли соответствовать требованиям GDPR, то теперь уже вывод очевиден. Однозначно стоит. Более детально тут.

вторник, 13 августа 2019 г.

В ожидании PCI DSS 4.0

Уже этой осенью обещают представить черновик стандарта PCI DSS 4.0 для ограниченной аудитории.

Стандарт будет представлен для обсуждения, но вероятно доступен для QSA. А так же в рамках рабочих групп по направлениям. 

Итоговый PCI DSS 4.0 планируется представить вначале 2021 года. 
Все 12 разделов стандарта останутся. Возможно в него войдут рекомендации которые уже давно требуют регламентирования, а именно. 

  • Длинные BIN и PIN.
  • Системы контейнеризации.
  • Замена устаревших формулировок и подходов.

Также планируется добавить риск ориентированный подход в PCI DSS 4.0

QR коды для оплаты и технологии блокчейн пока, вероятно, остаются за бортом стандарта.    

PA DSS пока поддерживается, но на замену ему готовится новый стандарт разработки ПО. 

Более детально о планируемых изменениях в группе стандартов PCI SSC можно посмотреть в презентации Jeremy King (International Director – Europe PCI Security Standards Council) которая была представлена в рамках конференции #PAYMENTSECURITY 2019

Отдельно несколько интересных бонусных презентаций:




вторник, 18 июня 2019 г.

Блоги и сообщества - невыгодно или неинтересно?

Пересмотрел блоги, сообщества и профильные издания и из 100 ресурсов жив только каждый пятый. То есть за 8 лет умерли 80% блогов. Вероятно, авторы так и не научились на них зарабатывать, а тратить время впустую не захотели. Что мотивирует писать оставшихся? Есть ли новые форматы - подкасты, публикации, каналы в Telegram, группы в Viber?
Если я кого-то забыл - дополните пожалуйста список, вероятно и новые ресурсы тоже должны были бы появиться.

пятница, 3 мая 2019 г.

Согласие на обработку данных и права субъекта данных (GDPR)

Вот такой замечательный материал по части GDPR в ключе согласия на обработку персональных данных доступен на русском языке. Рекомендую с ним детально ознакомиться, а может быть даже и перечитать дважды. Очень детально с пояснениями указаны особенности и нюансы.
Также есть и вторая статья данного авторства о работе с персональными данными сотрудников и контрагентов. Очень хороший материал.
Кроме того вот информация по правам субъекта данных в разрезе GDPR от другого специалиста.
Самое время доделать GDPR в тех местах, которые не были затронуты в первичном аврале год назад.

вторник, 5 марта 2019 г.

ICO Chat

Кто еще не успел воспользоваться - рекомендую ICO Chat.
Тут можно получить ответы на практически любые вопросы как по требованиям GDPR так и конкретным ситуациям с которыми вы столкнулись.
По словам консультантов, они не хранят ваши персональные данные (или данные вашей компании), потому можно смело задавать вопросы, без опасения, что вы уже в очереди на аудит, после перечня вопросов.
А консультироваться и придерживаться требований GDPR стоит. Вот например новость о возможных штрафах гиганта, и сумма может быть фантастической.

среда, 6 февраля 2019 г.

GDPR для Калифорнии или CCPA

California Consumer Privacy Act принят 28 июня 2018 года и обязателен к выполнению с 1 января 2020 года. Можно ли говорить, что это первая ласточка в сфере защиты клиентских персональных данных в США.
Нельзя сказать, чтобы в США не было отдельных требований к обработке персональных данных, особенно в медицинской и финансовой сфере. Но данный закон позволит клиентам распоряжаться своими данными. Удалять, запрашивать информацию о их хранении и использовании, запрещать продажу.
Есть и отличия от GDPR. В первую очередь, это конечно география использования. Но и право для бизнеса установить другую цену товара или услуги или предоставлять товары услуги другого качества для клиентов желающих воспользоваться правами такого закона.
Также штраф за каждое умышленное нарушение составляет 7500 долларов США, что на первый взгляд значительно более гуманно чем 4% оборота у GDPR (при этом есть еще 30 дней на устранение). Хотя если предположить, что утекли данные о 1000 клиентов - значит ли это, что сумма штрафа будет 7,5 млн. долларов? На этот вопрос вероятно будет отвечать Генеральный прокурор штата Калифорния.
Сфера применения - для компаний Калифорнии с прибылью более 25 млн. долларов США, обработка данных более 50 000 клиентов (в том числе и устройств) или получают более 50% прибыли от продажи персональных данных. В целом весьма гуманно и значительно более ориентированно на бизнес чем GDPR. Посмотрим как будет развиваться данный закон и затронет ли он другие штаты США.
В одном можно быть уверенным, законодательного регулирования в сфере защиты персональных данных будет становиться в разных странах мира все больше. А это потребует от компаний быть готовыми выполнять данные требования и внедрять процессы защиты персональных данных.
Более детально с основной информацией по CCPA можно ознакомиться тут.
Если вам нужно содействие при построении процессов соответствия требованиям GDPR или PCI DSS напишите на почту.

среда, 9 января 2019 г.

Штрафы по GDPR. 180 дней террора?

Прошло уже полгода с момента вступления в силу требований GDPR (General Data Protection Regulation). За это время количество утечек судя по публикациям в СМИ не только не уменьшилось, но и даже возросло (или осталось таким же, но возросло количество информации о данных инцидентах?). К чему это привело для компаний? Были ли штрафы и какого размера?
Прецеденты действительно были. Самые известные из них.
Букмекерская контора в Австрии получила штраф за мониторинг общественного пространства. Штраф небольшой - чуть менее 5 тыс Евро. Но прецедент.
Второй инцидент - это публикация пользовательских данных социальной сети в Германии. И хотя штраф не так и велик - 20 тыс Евро, учитывая компрометацию почти 2 млн. пользовательских данных, это говорит о серьезности в реагировании на инциденты.   
Еще более серьезно обстоят дела с больницей в Португалии. За нарушение целостности и конфиденциальности, а также принципов минимизации данных получился штраф во внушительные 400 тыс. Евро. Что уже является очень существенной суммой. При чем штрафы были выписаны по каждому типу нарушения и просуммированы (150+150+100).  
Также давайте вспомним недавнюю ситуацию с утечкой данных в сети отелей или утечку из компании технологической сферы. По данным эпизодам решение пока не вынесено, но учитывая, что и в менее масштабных случаях штрафы применены, вероятно и эти, и другие случаи повлекут за собой разбирательства и материальные взыскания.    
И несмотря на то, что на данный момент штрафов еще не очень много или они не исчисляются миллионами, прецеденты есть и их число будет расти.
В связи с этим, все те, кто по какой-то причине еще не привели процессы и документацию в соответствие требованиям GDPR это желательно сделать в самые сжатые сроки. Если вам нужна консультация по данному вопросу - напишите на почту.  
x