पीसीआई मानक के अनुरूप। पीसीआई डीएसएस प्रमाणन की तैयारी

मोबाइल भुगतान समाधान अभी तक विश्व बाजार और विशेष रूप से हमारे देश में व्यापक रूप से प्रस्तुत नहीं किए गए हैं। हालांकि, फिनटेक डेवलपर्स, व्यवसायों और व्यापार और सेवा उद्यमों से ऐसे समाधानों में रुचि हर साल बढ़ रही है।

एंड्री गाइको
प्रमाणित QSA डिजिटल सुरक्षा लेखा परीक्षक

एमपीओएस क्या है

मोबाइल भुगतान समाधान (mPOS) में निम्नलिखित मुख्य घटक होते हैं:

• मोबाइल डिवाइस - एक स्मार्टफोन या टैबलेट जिससे पाठक जुड़ा हुआ है;
• मोबाइल डिवाइस के लिए भुगतान एप्लिकेशन - सॉफ्टवेयर जिसके इंटरफेस के माध्यम से विक्रेता भुगतान के लिए डेटा दर्ज करता है और प्रसंस्करण के साथ डेटा का आदान-प्रदान करता है। साथ ही, इस सॉफ़्टवेयर के माध्यम से कार्डधारक को एक हस्ताक्षर का उपयोग करके सत्यापित करना संभव है;
• पाठक - दो प्रकार के पाठक प्रतिष्ठित हैं: पिन एंट्री डिवाइस (पीईडी), एक कार्ड रीडर और एक पिन कोड इनपुट डिवाइस। ब्लूटूथ, ऑडियो जैक या मिनी-यूएसबी के माध्यम से मोबाइल डिवाइस से कनेक्ट होता है; सिक्योर कार्ड रीडर (एससीआर), एक कार्ड रीडर। आमतौर पर एक ऑडियो जैक के माध्यम से मोबाइल डिवाइस से जुड़ा होता है।

मोबाइल भुगतान समाधान से हमारा तात्पर्य व्यापारियों के लिए एक सॉफ़्टवेयर और हार्डवेयर प्लेटफ़ॉर्म से है (बाद में व्यापारियों के रूप में संदर्भित), जो स्मार्टफोन/टैबलेट का उपयोग करने वाले व्यक्तियों और उससे जुड़े पाठक से भुगतान स्वीकार करने की अनुमति देता है। एमपीओएस के माध्यम से, संपर्क रहित तरीके से (एनएफसी समर्थन के साथ ग्राहक के मोबाइल फोन में लोड किए गए बैंक कार्ड के साथ (बाद में एनएफसी कार्ड के रूप में संदर्भित), या संपर्क रहित बैंक कार्ड के साथ), और पारंपरिक प्लास्टिक द्वारा भुगतान स्वीकार करना संभव है। कार्ड (चुंबकीय पट्टी और/या ईएमवी चिप के साथ)।

सुरक्षित कार्ड रीडिंग और पिन कोड प्रविष्टि के कार्यों के अलावा, एमपीओएस को कार्डधारक सत्यापन के सभी मुख्य तरीकों का समर्थन करना चाहिए, घटकों और सिस्टम के प्रसंस्करण भाग के बीच संचरण के दौरान डेटा एन्क्रिप्शन, साथ ही चेक प्रिंट करने या उन्हें भेजने की क्षमता का समर्थन करना चाहिए। एसएमएस और ई-मेल के जरिए।

सेवा प्रदाता या अधिग्रहण करने वाले बैंक की तरफ, जो एमपीओएस भुगतान के लिए डेटा प्राप्त करने और आगे की प्रक्रिया में लगे हुए हैं, एक बैक-एंड सिस्टम (पेमेंट गेटवे) का उपयोग किया जाता है, जो इंटरनेट या नियमित पीओएस अधिग्रहण के समान होता है।

यह समझने के लिए कि तकनीकी स्तर पर सुरक्षा आवश्यकताओं को क्या बनाया जाना चाहिए, एमपीओएस पारिस्थितिकी तंत्र के मुख्य घटकों और मौजूदा सूचना प्रवाह को निर्धारित करना आवश्यक है। व्यापार स्तर पर भुगतान की सुरक्षा के लिए एमपीओएस पारिस्थितिकी तंत्र संस्थाओं की जिम्मेदारी को समझने के लिए, भुगतान प्रक्रिया में प्रतिभागियों के मौजूदा व्यापार मॉडल को निर्धारित करना आवश्यक है।

सूचना प्रवाह की योजना में 8 मुख्य चरण होते हैं (चित्र 1 देखें):

• चरण 1. व्यापारी कर्मचारी पाठक को इंटरनेट कनेक्शन के साथ मोबाइल डिवाइस (स्मार्टफोन या टैबलेट) से जोड़ता है। एक विशेष मोबाइल एप्लिकेशन लॉन्च करता है और इसमें खरीद और भुगतान की राशि के बारे में जानकारी दर्ज करता है;
• चरण 2. ग्राहक पाठक के लिए बैंक कार्ड डालता है, रोल करता है या लाता है। एनएफसी कार्ड के मामले में, ग्राहक अपने स्मार्टफोन पर वॉलेट एप्लिकेशन खोलता है, एक वैध बैंक कार्ड का चयन करता है, और स्मार्टफोन को पाठक के करीब लाता है। कार्ड में सेटिंग्स के आधार पर, आपको एक पिन कोड दर्ज करने के लिए कहा जाएगा। इस मामले में, ग्राहक पिन-पैड का उपयोग करके पिन दर्ज करता है, जिसे रीडर में बनाया जा सकता है;
• चरण 3. पाठक कार्ड डेटा पढ़ता है, इसे एन्क्रिप्ट करता है और इसे व्यापारी के कर्मचारी के मोबाइल डिवाइस पर स्थानांतरित करता है;
• चरण 4. कर्मचारी का मोबाइल डिवाइस एन्क्रिप्टेड डेटा को पेमेंट गेटवे पर भेजता है, और डेटा को पेमेंट गेटवे से अधिग्रहण प्रणाली में स्थानांतरित कर दिया जाता है। कार्ड डेटा के अलावा, सेटिंग्स के आधार पर, एमपीओएस, लेनदेन, खरीदे गए उत्पाद या सेवा के बारे में जानकारी अतिरिक्त रूप से प्रेषित की जा सकती है;
• चरण 5. अधिग्रहण प्रणाली से प्राधिकरण अनुरोध एमपीएस को प्रेषित किया जाता है। अनुरोध को संसाधित करने के बाद, परिणाम (स्वीकृत या अस्वीकृत) प्राप्त करने वाले सिस्टम को वापस कर दिया जाता है। यदि कार्ड जिस पर भुगतान किया जाता है, उसी बैंक द्वारा जारी किया जाता है जिसके माध्यम से अधिग्रहण किया जाता है, तो अनुरोध आईपीएस को प्रेषित नहीं किया जाता है;
• चरण 6. प्राधिकरण अनुरोध का परिणाम मोबाइल डिवाइस पर प्रेषित किया जाता है;
• चरण 7. यदि कार्ड को अपने मालिक के हस्ताक्षर की आवश्यकता है, तो मोबाइल एप्लिकेशन में संबंधित फॉर्म प्रदर्शित होता है, और ग्राहक संकेत (स्टाइलस या उंगली के साथ);
• चरण 8. मोबाइल भुगतान एप्लिकेशन में व्यापारी कर्मचारी ग्राहक को चेक भेजने की विधि का चयन करता है। स्थानीय कैश रजिस्टर में एसएमएस, ई-मेल या प्रिंटिंग द्वारा भेजना संभव है।

निम्नलिखित कंपनियां ऊपर वर्णित प्रक्रिया के कार्यान्वयन में शामिल हो सकती हैं:

• mPOS डिवाइस डेवलपर - ऐसे हार्डवेयर का विकास और उत्पादन करते हैं जो कार्ड डेटा और पिन कोड को सुरक्षित रूप से पढ़ते हैं;
• मोबाइल डिवाइस और/या पेमेंट गेटवे के लिए भुगतान सॉफ़्टवेयर के डेवलपर्स - एक व्यापारी के लिए क्लाइंट सॉफ़्टवेयर और संभवतः, भुगतान गेटवे के लिए सॉफ़्टवेयर विकसित करना;
• प्लेटफार्म डेवलपर्स - विकास कंपनियां जो एमपीओएस समाधान सेवा प्रदाताओं या परिचितों को आगे बिक्री के लिए एक एमपीओएस समाधान का एक हार्डवेयर और सॉफ्टवेयर हिस्सा बनाती हैं;
• mPOS समाधान सेवा प्रदाता - वे कंपनियाँ जो व्यापारियों के लिए अंतिम उत्पाद बनाती हैं। इस प्रकार की कंपनियां बैंकों या तथाकथित भुगतान मध्यस्थों (भुगतान सुविधाकर्ता) का अधिग्रहण कर रही हैं। ये कंपनियां या तो मोबाइल भुगतान समाधान के सभी घटकों को स्वतंत्र रूप से विकसित कर सकती हैं, या विभिन्न निर्माताओं से अलग-अलग घटकों को लाइसेंस देकर उन्हें एक दूसरे के साथ एकीकृत कर सकती हैं। भुगतान मध्यस्थ, बैंकों को प्राप्त करने के अपवाद के साथ, एक सेवा प्रदाता और एक व्यापारी के बीच एक क्रॉस हैं। उनके ग्राहक व्यापारी हैं, जिनके लिए अधिग्रहण करने वाले बैंक के साथ बातचीत एक पारदर्शी प्रक्रिया बन जाती है, क्योंकि भुगतान मध्यस्थ व्यापारी के साथ निपटान के लिए जिम्मेदार होता है;
• वितरक - कंपनियां जो बाजार में विभिन्न निर्माताओं से कुछ एमपीओएस समाधानों को बढ़ावा देती हैं और व्यापारी के एमपीओएस समाधान को फिर से बेचने का कार्य करती हैं;
• भुगतान सेवा प्रदाता (प्रसंस्करण कंपनी, भुगतान गेटवे) - एक कंपनी जो mPOS समाधान के सेवा प्रदाता और अधिग्रहण करने वाले बैंक के बीच एक मध्यस्थ है। यह व्यापारी के मोबाइल डिवाइस और अधिग्रहणकर्ता के बीच सूचना सहभागिता प्रदान करता है;
• अधिग्रहणकर्ता - एक अधिग्रहण करने वाला बैंक या आईपीएस से जुड़ा एक प्रसंस्करण केंद्र, जो भुगतान प्राधिकरण प्रदान करता है। जिन बैंकों के साथ mPOS समाधान सेवा प्रदाता सहयोग करते हैं, उनका अधिग्रहण व्यापारियों के साथ निपटान के लिए किया जा सकता है।

यह ध्यान दिया जाना चाहिए कि कंपनी न केवल निर्दिष्ट भूमिकाओं में से एक का प्रदर्शन कर सकती है। यह संभव है कि एक कंपनी एमपीओएस समाधान के सभी सॉफ्टवेयर और हार्डवेयर घटकों को पूरी तरह से विकसित कर सके। कंपनी द्वारा कौन से कार्य किए जाएंगे, इसके आधार पर, यह इस बात पर निर्भर करता है कि इसे किन सुरक्षा आवश्यकताओं का पालन करना चाहिए।

एमपीओएस पारिस्थितिकी तंत्र में सभी प्रतिभागियों के बीच सुरक्षा आवश्यकताओं को पूरा करने की जिम्मेदारी को कैसे सीमित किया जाना चाहिए, यह समझने के लिए मुख्य घटकों और व्यवसाय मॉडल के प्रकारों की सूची प्रदान की गई है।

प्रमाणन के प्रकार

पहला मोबाइल भुगतान समाधान सुरक्षा दिशानिर्देश 2011 में वीज़ा द्वारा जारी किए गए थे। उन्होंने मोबाइल भुगतान समाधानों का उपयोग करने की सुरक्षा के संबंध में डेवलपर्स और व्यापारियों के लिए सामान्य मार्गदर्शन प्रदान किया। 2012 में, पीसीआई एसएससी ने डेवलपर्स के लिए अधिक विस्तृत दिशानिर्देश जारी किए। आज, IPU और PCI SSC लगभग हर साल अद्यतन mPOS सुरक्षा सलाह जारी करते हैं।

सिफारिशों के अलावा, वीज़ा और मास्टरकार्ड ने मोबाइल भुगतान समाधान प्रदाताओं के लिए प्रमाणन कार्यक्रम विकसित किए हैं। वास्तव में, दोनों कार्यक्रम काफी समान हैं, और उच्च संभावना के साथ यह तर्क दिया जा सकता है कि एक विदेश मंत्रालय की आवश्यकताओं के अनुसार समाधान का विकास दूसरे द्वारा प्रमाणित किया जा सकता है। दोनों MPS प्रमाणित कंपनियों और mPOS समाधानों की रजिस्ट्रियां बनाए रखते हैं।

पीसीआई एसएससी मानक

पीसीआई डीएसएस
मानक के नए संस्करण में, नई आवश्यकताएं सामने आई हैं, जिनका एमपीओएस सुरक्षा के मामले में स्वागत है। विशेष रूप से, खंड 9.9 को धारा 9 में जोड़ा गया था, जिसके अनुसार कार्ड रीडर का रिकॉर्ड रखना आवश्यक है, साथ ही एमपीओएस स्पूफिंग या अन्य संकेतों का पता लगाने में सक्षम होने के लिए उपकरणों की सेवा करने वाले कर्मचारियों / उपयोगकर्ताओं के आवधिक प्रशिक्षण का संचालन करना आवश्यक है। स्किमिंग का। एमपीओएस समाधान सेवा प्रदाताओं या अधिग्रहण करने वाली कंपनियों के मामले में, पाठकों को पाठकों के साथ प्रदान करते समय, उन्हें स्किमिंग से बचाने के लिए सिफारिशें और निर्देश विकसित करने और उन्हें व्यापारी कर्मचारियों के ध्यान में लाने की आवश्यकता होगी। आवश्यकता 12.8 के भाग के रूप में, संविदात्मक स्तर पर सेवा प्रदाताओं और अधिग्रहणकर्ताओं को संबंधित mPOS सुरक्षा आवश्यकताओं का अनुपालन करने के लिए एक व्यापारी की आवश्यकता हो सकती है।

इस तथ्य के बावजूद कि अधिकांश सुरक्षा आवश्यकताओं की पूर्ति विभिन्न सेवा प्रदाताओं और बैंकों पर होती है, अधिग्रहण करने वाले बैंकों को यह अधिकार है कि वे व्यापारी को उपयुक्त प्रकार के स्व-मूल्यांकन पत्रक (SAQ) भरने की आवश्यकता (SAQ P2PE-HW के मामले में) P2PE समाधान का उपयोग करने वाला व्यापारी, PCI PTS प्रमाणित रीडर के साथ mPOS का उपयोग करते समय SAQ B-IP)। तालिका में mPOS समाधान के घटकों, प्रासंगिक मानकों का पालन किया जाना चाहिए, और कंपनी आवश्यकताओं को लागू करने के लिए जिम्मेदार है।

आवश्यकता 12.8 तब भी प्रासंगिक होती है जब सेवा प्रदाता के लिए एमपीओएस समाधान सॉफ़्टवेयर किसी तृतीय पक्ष द्वारा विकसित किया जाता है। इस मामले में, आवश्यकता 6.5 की पूर्ति पूरी तरह से डेवलपर कंपनी के कंधों पर आती है। उसी समय, यदि डेवलपर कंपनी आवश्यकताओं का पालन नहीं करती है, तो सेवा प्रदाता पीसीआई डीएसएस अनुपालन ऑडिट पास नहीं कर पाएगा। सेवा प्रदाताओं (अधिग्रहणकर्ताओं) और डेवलपर्स के बीच अनुबंध को डेवलपर कंपनी की कुछ व्यावसायिक प्रक्रियाओं के ऑडिट के मुद्दे के लिए प्रदान करना चाहिए, अगर सेवा प्रदाता वार्षिक पीसीआई डीएसएस प्रमाणीकरण पास करता है। विकास प्रक्रिया को सेवा प्रदाता के ऑडिट के दायरे में शामिल किया जाएगा। अन्य सेवाओं की आउटसोर्सिंग के मामले में भी यही सच है। सामान्य तौर पर, इससे संबंधित भाग में पीसीआई डीएसएस आवश्यकताओं के अनुपालन की तृतीय-पक्ष पुष्टि पीसीआई डीएसएस के अनुसार आवश्यक व्यावसायिक प्रक्रियाओं को स्व-प्रमाणित करके प्रदान की जा सकती है, इसके बाद सफलतापूर्वक उत्तीर्ण सत्यापन के प्रमाण पत्र के प्रावधान के द्वारा, या प्रदान करके प्रदान किया जा सकता है। सेवा लेखा परीक्षा प्रदाता (अधिग्रहणकर्ता) के भाग के रूप में व्यवसाय प्रक्रिया का लेखा परीक्षा करने का अवसर।

यह ध्यान दिया जाना चाहिए कि हमारे देश में, ग्राहक कंपनी के ऑडिट के हिस्से के रूप में डेवलपर्स का ऑडिट काफी दुर्लभ है। डेवलपर्स मौखिक रूप से सुरक्षित विकास विधियों के ज्ञान और अनुप्रयोग की गारंटी दे सकते हैं, लेकिन वास्तव में उनके पास आवश्यक ज्ञान नहीं है और वे उपयुक्त प्रक्रियाओं का पालन नहीं करते हैं। पीसीआई डीएसएस के नए संस्करण के जारी होने के साथ, चीजें बदलनी चाहिए, क्योंकि आवश्यकताएं विस्तृत हो गई हैं, और मानक के पाठ में निर्दिष्ट सत्यापन प्रक्रियाएं क्यूएसए ऑडिटर को गहन जांच करने के लिए बाध्य करती हैं।

पीसीआई पीटीएस
PCI PTS मानक पॉइंट ऑफ़ इंटरेक्शन डिवाइस (POI) और हार्डवेयर सुरक्षा मॉड्यूल (HSM) के लिए सुरक्षा आवश्यकताओं को नियंत्रित करता है। मोबाइल डिवाइस से जुड़ा रीडर POI है। जैसा कि ऊपर उल्लेख किया गया है, एमपीओएस समाधान पीओआई के दो वर्गों का उपयोग करते हैं: पिन एंट्री डिवाइस (पीईडी) और सिक्योर कार्ड रीडर (एससीआर)। पीओआई के प्रकार के आधार पर पाठक संबंधित है, पीसीआई पीटीएस आवश्यकताओं के समूह जिन्हें डिवाइस का पालन करना चाहिए, निर्धारित किए जाते हैं।

वर्तमान में, घरेलू बाजार में पेश किए गए कुछ एमपीओएस समाधान बिना नाम वाले निर्माताओं के पाठकों का उपयोग करते हैं। ऐसे पाठकों का उपयोग उपकरणों के बीच सुरक्षित डेटा स्थानांतरण की गारंटी नहीं देता है और स्पष्ट पाठ में कार्ड नंबर को मोबाइल डिवाइस पर स्थानांतरित करना संभव बनाता है। इसलिए, एमपीओएस समाधान चुनते समय, आपको यह सुनिश्चित करने की आवश्यकता है कि सेवा प्रदाता पीसीआई पीटीएस प्रमाणित रीडर प्रदान करता है।

क्लाइंट सॉफ़्टवेयर विकसित करने के लिए दो व्यावसायिक मॉडल हैं: आपकी अपनी परियोजना के लिए विकास, जब डेवलपर एक mPOS समाधान बनाता है और उसे अपने ब्रांड के तहत बाज़ार में लाता है: इस मामले में, डेवलपर mPOS समाधान का सेवा प्रदाता होगा; - और कंपनियों द्वारा आगे लाइसेंसिंग के लिए एक अंतिम समाधान का विकास जो विभिन्न निर्माताओं के घटकों को एक दूसरे के साथ एकीकृत करता है और उनके आधार पर अपने स्वयं के एमपीओएस समाधान बनाता है।

पीए-डीएसएस
एमपीओएस समाधानों के लिए, पीए-डीएसएस कार्ड डेटा पढ़ने वाले उपकरणों के फर्मवेयर पर लागू होना अनिवार्य है। मर्चेंट कर्मचारी के मोबाइल डिवाइस पर इंस्टॉल किए गए सॉफ़्टवेयर के लिए, यह मानक एक अनुशंसा है। ऐसा इसलिए है क्योंकि मोबाइल डिवाइस एक अविश्वसनीय और खराब नियंत्रित वातावरण है। उदाहरण के लिए, एक डिवाइस को जेलब्रेक किया जा सकता है, जो परिमाण के क्रम से डिवाइस की सुरक्षा को कम करता है और इंस्टॉल किए गए भुगतान एप्लिकेशन की सुरक्षा की गारंटी नहीं देता है। इसीलिए रेल मंत्रालय पिन कोड दर्ज करने के लिए मोबाइल उपकरणों के उपयोग पर प्रतिबंध लगाता है और इसके लिए आवश्यक है कि पाठक का डेटा एन्क्रिप्टेड रूप में मोबाइल सॉफ़्टवेयर में आए और फिर उसी रूप में प्राप्त करने वाले को प्रेषित किया जाए। इस मामले में, भुगतान कार्ड डेटा को मोबाइल डिवाइस में खुले रूप में संसाधित और संग्रहीत नहीं किया जाएगा, जिसका अर्थ है कि पीए-डीएसएस आवश्यकताएं लागू नहीं होती हैं।

मानक के संस्करण 3.0 ने नई आवश्यकताओं को पेश किया है कि पाठकों और बॉक्सिंग भुगतान अनुप्रयोगों के लिए फर्मवेयर के डेवलपर्स को सबसे पहले ध्यान देना चाहिए। सबसे पहले, जारी होने वाले प्रत्येक अद्यतन को एक अलग प्रमाणीकरण से गुजरना होगा। दूसरे, अब ग्राहकों को सॉफ्टवेयर के केवल उन्हीं संस्करणों (अपडेट) का उपयोग करना चाहिए जो पीसीआई काउंसिल की वेबसाइट पर प्रमाणित और सूचीबद्ध हैं।

पीसीआई पी2पीई
अपेक्षाकृत हाल ही में, एक नया PCI P2PE सुरक्षा मानक जारी किया गया है। मानक उन समाधानों के लिए अभिप्रेत है जो भुगतान समाधान के सभी घटकों के बीच स्थानांतरण के दौरान डेटा की क्रिप्टोग्राफ़िक सुरक्षा प्रदान करते हैं। एन्क्रिप्शन के मामले में, व्यापारी में मानक का दायरा न्यूनतम स्तर तक कम हो जाता है, क्योंकि व्यापारी के पास स्पष्ट पाठ में कार्डधारकों के बारे में डेटा प्राप्त करने की क्षमता नहीं होती है।

एमपीओएस पारिस्थितिकी तंत्र के सभी मुख्य घटकों की सूची में शामिल हैं:

• रीडिंग डिवाइस;
• मोबाइल डिवाइस के लिए भुगतान आवेदन;
• भुगतान के लिए रास्ता;
• एमपीएस से जुड़ी अधिग्रहण प्रणाली।

पीसीआई डीएसएस के विपरीत, जो केवल सूचना के बुनियादी ढांचे पर लागू होता है, पीसीआई पी2पीई अधिक व्यापक है और न केवल बुनियादी ढांचे पर लागू होता है, बल्कि पीओआई टर्मिनलों के पाठकों और सॉफ्टवेयर पर भी लागू होता है (एमपीओएस के परिशिष्ट में, ये पाठक हैं)। मानक में 6 डोमेन होते हैं, जिनकी आवश्यकताएं वर्तमान पीसीआई मानकों पर आधारित होती हैं: पाठकों को पीसीआई पीटीएस एसआरईडी आवश्यकताओं का पालन करना चाहिए; पाठक सॉफ्टवेयर - पीए-डीएसएस; एन्क्रिप्शन कुंजी प्रबंधन - पीसीआई पिन सुरक्षा आवश्यकताएँ; मर्चेंट की भुगतान सूचना अवसंरचना - पीसीआई डीएसएस। यदि समाधान PCI P2PE प्रमाणित है, तो इसका अर्थ है कि सभी उप-प्रणालियों के बीच डेटा (सॉफ्टवेयर में रीडर से मोबाइल डिवाइस तक, सॉफ़्टवेयर से प्रोसेसिंग और उससे आगे तक) एन्क्रिप्टेड रूप में प्रेषित किया जाता है, और सभी सबसिस्टम आवश्यकताओं का अनुपालन करते हैं प्रासंगिक पीसीआई मानकों।

P2PE आवश्यकताओं के अनुसार, व्यक्तिगत घटकों और तैयार समाधान दोनों को प्रमाणित किया जा सकता है।

एमपीएस एमपीओएस भुगतान स्वीकार करने के लिए पी2पीई समाधानों का उपयोग करने की सिफारिश करता है। हालांकि, कठिनाई इस तथ्य में निहित है कि इस समय बाजार में इस प्रकार के कुछ समाधान हैं, इसलिए, MPS की आवश्यकता नहीं है, लेकिन PCI P2PE समाधानों का उपयोग करने की सलाह देते हैं और विकसित होने पर उनके द्वारा निर्देशित होते हैं। हालांकि, एमपीओएस भुगतान समाधान सेवा प्रदाताओं को इस तथ्य के लिए तैयार रहने की जरूरत है कि एमपीएस को जल्द ही अपने एमपीओएस समाधानों के लिए अनिवार्य पीसीआई पी2पीई प्रमाणीकरण की आवश्यकता होगी।

मानक के बारे में

पीसीआई डीएसएस (पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड) पेमेंट कार्ड उद्योग सुरक्षा मानक परिषद (पीसीआई एसएससी) द्वारा विकसित एक भुगतान कार्ड उद्योग डेटा सुरक्षा मानक है, जिसे वीज़ा, मास्टरकार्ड, अमेरिकन एक्सप्रेस, जेसीबी और डिस्कवर द्वारा स्थापित किया गया था।

मानक की आवश्यकताएं अंतरराष्ट्रीय भुगतान प्रणालियों के साथ काम करने वाली सभी कंपनियों पर लागू होती हैं: बैंक, व्यापारी, प्रौद्योगिकी सेवा प्रदाता और अन्य संगठन जिनकी गतिविधियां भुगतान कार्ड धारकों पर डेटा के प्रसंस्करण, संचरण और भंडारण से संबंधित हैं।

पीसीआई डीएसएस - व्यापक सुरक्षा गाइड

पीसीआई डीएसएस मानक बुनियादी ढांचे के घटकों की सुरक्षा के लिए आवश्यकताओं को आगे रखता है जिसमें भुगतान कार्ड के बारे में जानकारी प्रसारित, संसाधित या संग्रहीत की जाती है। इन आवश्यकताओं के अनुपालन के लिए भुगतान अवसंरचना की जाँच करने से उन कारणों का पता चलता है जो इसकी सुरक्षा के स्तर को काफी कम करते हैं। प्रवेश परीक्षण, जो पीसीआई डीएसएस मानक द्वारा विनियमित अनिवार्य उपायों की सूची में शामिल हैं, कंपनी के सूचना संसाधनों की सुरक्षा के वास्तविक स्तर को एक हमलावर की स्थिति से दिखाते हैं जो जांच के तहत परिधि के बाहर है, और स्थिति से एक कंपनी कर्मचारी जिसके पास "अंदर से" पहुंच है।

PCI DSS परिषद ने भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (PCI DSS) में प्रमुख डेटा सुरक्षा आवश्यकताओं को तैयार किया है। सुरक्षा मूल्यांकन के लिए आवश्यकताएँ और प्रक्रियाएँ। संस्करण 3.0"। सुरक्षा ऑडिट प्रक्रिया को सरल बनाने के लिए इन आवश्यकताओं को इस तरह से समूहीकृत किया गया है।

रूसी में पीसीआई डीएसएस डाउनलोड करें।

पीसीआई डीएसएस सुरक्षा आकलन आवश्यकताएँ और प्रक्रियाएँ

सुरक्षित नेटवर्क और सिस्टम बनाएं और बनाए रखें

• आवश्यकता 1: "कार्डधारक डेटा की सुरक्षा के लिए फ़ायरवॉल कॉन्फ़िगरेशन स्थापित करें और बनाए रखें।"
• आवश्यकता 2. "निर्माता द्वारा डिफ़ॉल्ट रूप से सेट किए गए सिस्टम और अन्य सुरक्षा सेटिंग्स के लिए पासवर्ड का उपयोग न करें।"

कार्डधारक डेटा को सुरक्षित रखें

• आवश्यकता 3: "संग्रहीत कार्डधारक डेटा को सुरक्षित रखें।"
• आवश्यकता 4: सार्वजनिक नेटवर्क पर कार्डधारक डेटा को ट्रांज़िट में एन्क्रिप्ट करें।

भेद्यता प्रबंधन कार्यक्रम बनाए रखें

• आवश्यकता 5: "सभी प्रणालियों को मैलवेयर से सुरक्षित रखें और एंटीवायरस सॉफ़्टवेयर को नियमित रूप से अपडेट करें।"
• आवश्यकता 6: "सुरक्षित प्रणालियों और अनुप्रयोगों का विकास और रखरखाव करें।"

मजबूत अभिगम नियंत्रण उपायों को लागू करें

• आवश्यकता 7: "आवश्यकता के आधार पर कार्डधारक डेटा तक पहुंच को प्रतिबंधित करें।"
• आवश्यकता 8: "सिस्टम घटकों तक पहुंच को पहचानें और प्रमाणित करें।"
• आवश्यकता 9: कार्डधारक डेटा तक भौतिक पहुंच को प्रतिबंधित करें।

नेटवर्क की नियमित निगरानी और परीक्षण करें

• आवश्यकता 10: "नेटवर्क संसाधनों और कार्डधारक डेटा तक सभी पहुंच को ट्रैक और मॉनिटर करें।"
• आवश्यकता 11: "नियमित रूप से सुरक्षा प्रणालियों और प्रक्रियाओं का परीक्षण करें"

सूचना सुरक्षा नीति बनाए रखें

• आवश्यकता 12: "सभी कर्मचारियों के लिए सूचना सुरक्षा नीति बनाए रखें।"

प्रॉस्पेक्टिव मॉनिटरिंग बैंकों, व्यापारियों और वित्तीय सेवा डेवलपर्स को पीसीआई डीएसएस अनुपालन के लिए एक ऑडिट के लिए तैयार करने में मदद करता है और मानक की आवश्यकताओं को पूरा करने में विशेषज्ञ सहायता प्रदान करता है।

कई शुरुआती प्रकाशनों में, हमने पहले ही सूचना सुरक्षा के क्षेत्र में कुछ अंतरराष्ट्रीय मानकों पर विचार किया है। हालांकि, वे मुख्य रूप से थे घर में , अर्थात। कंपनी के आंतरिक बुनियादी ढांचे। सूचना सुरक्षा की सबसे स्पष्ट समझ तब आती है जब सुरक्षा सीधे वित्त से संबंधित होती है, जब यह संख्या में व्यवसाय पर अपना महत्वपूर्ण प्रभाव दिखाती है। इसलिए, आज हम वित्तीय संस्थानों जैसे बैंकों, क्रेडिट संस्थानों, भुगतान एजेंटों आदि में सुरक्षा के बारे में बात करेंगे। वे सभी धन हस्तांतरण में शामिल हैं, जिसका अर्थ है कि वे उद्योग मानक के अंतर्गत आते हैं।पीसीआई डीएसएस(भुगतान कार्ड उद्योग डेटा सुरक्षा मानक)

मानक पीसीआई डीएसएस अंतरराष्ट्रीय भुगतान प्रणालियों के साथ काम करने वाली कंपनियों की सूचना प्रणाली में भुगतान कार्ड धारकों पर डेटा के प्रसंस्करण, भंडारण और हस्तांतरण की सुरक्षा सुनिश्चित करने के लिए डिज़ाइन किया गया है। वीसा , मास्टर कार्ड और दूसरे। मानक समुदाय द्वारा विकसित किया गया है पीसीआई सुरक्षा मानक परिषद, जिसमें भुगतान कार्ड बाजार में विश्व के नेता शामिल हैं, जैसे अमेरिकन एक्सप्रेस, वित्तीय सेवाओं की खोज करें, जेसीबी, मास्टरकार्ड वर्ल्डवाइडतथा वीजा इंटरनेशनल. मानक आवश्यकताएं पीसीआई डीएसएस फैलाना सभी कंपनियों के लिए वह भुगतान कार्ड धारकों (बैंकों, प्रसंस्करण केंद्रों, सेवा प्रदाताओं, ई-कॉमर्स सिस्टम, आदि) पर डेटा को संसाधित, संग्रहीत या संचारित करता है। रूस में, मानक का अनुपालन पीसीआई डीएसएस बन गए 2007 से प्रासंगिक संगठनों में उपयोग के लिए अनिवार्य।

अध्ययन के परिणामों के अनुसार विश्लेषण मेसन, लगभग 42% क्लाउड सेवा प्रदाता भुगतान कार्ड उद्योग डेटा सुरक्षा मानकों (PCI DSS, भुगतान कार्ड उद्योग डेटा सुरक्षा मानक) का अनुपालन करते हैं। वे दुनिया भर में काम करते हैं और उन सभी संगठनों पर लागू होते हैं जो क्रेडिट कार्ड संसाधित करते हैं, और अपने धारकों के बारे में जानकारी संग्रहीत या संचारित भी करते हैं। भुगतान कार्ड उद्योग को संवेदनशील डेटा पर अधिक नियंत्रण देने और इसे लीक होने से रोकने के लिए यह मानक पेश किया गया था। इसका उद्देश्य यह भी सुनिश्चित करना है कि क्रेडिट कार्ड का उपयोग करते समय उपभोक्ता धोखाधड़ी या पहचान की चोरी से सुरक्षित रहें।

वीज़ा और मास्टरकार्ड दोनों वर्गीकरणों के तहत, प्रति वर्ष 6 मिलियन से अधिक लेनदेन को संसाधित करने, संग्रहीत करने या संचारित करने वाली प्रणालियों को इस प्रकार वर्गीकृत किया जाता है प्रथम स्तर (स्तर 1) और सालाना आवश्यक हैं लेखापरीक्षित होना .

मानक के विकास का इतिहास

1.0 मानक का मूल संस्करण है।

1.1 - सितंबर 2006 में अपनाया गया।

1.2 - अक्टूबर 2008 में अपनाया गया।

2.0 - अक्टूबर 2010 में अपनाया गया।

3.0 - नवंबर 2013 में अपनाया गया।

3.1 - अप्रैल 2015 में अपनाया गया।

पीसीआई डीएसएस संस्करण 3.0

पेमेंट कार्ड इंडस्ट्री सिक्योरिटी स्टैंडर्ड काउंसिल (पीसीआई एसएससी) के सीईओ बॉब रूसो ने ईवीक को बताया, "पीसीआई-डीएसएस 3.0 का नया संस्करण मानक को सामान्य व्यापार संचालन का एक अभिन्न अंग बना देगा।" - हम लोगों को यह विश्वास करने से रोकने की कोशिश करना चाहते हैं कि पीसीआई-डीएसएस से साल में एक बार निपटा जा सकता है, और फिर इसके बारे में नहीं सोचना चाहिए। वास्तविक स्थिति में, अंतराल अक्सर होते हैं।

पीसीआई-DSS इसे अक्सर अनुपालन के लिए किसी कंपनी की जाँच के लिए एक आधार के रूप में देखा जाता था, जहाँ आप इस बात का पता लगा सकते हैं कि इस समय सब कुछ क्रम में है और शांति से अन्य मामलों पर आगे बढ़ें। बॉब रूसो ने जोर दिया कि नए मानक में पीसीआई-डीएसएस 3.0 शिक्षा और नीति पर जोर है, भुगतान सुरक्षा को एक दैनिक कार्य और एक निरंतर बनाए रखा आदेश का एक तत्व बनाना। लब्बोलुआब यह है कि मानक अधिक सुसंगत प्रक्रिया-उन्मुख नियंत्रण की ओर ले जाने में मदद करेगा, जो विशेष रूप से बड़े संगठनों के लिए महत्वपूर्ण है। और यह केवल सामयिक पीसीआई-डीएसएस ऑडिट ही नहीं, बल्कि चल रही जवाबदेही पर भी ध्यान केंद्रित करता है।

पीसीआई-डीएसएस मानक की आलोचनाओं में से एक इसके प्रावधानों में स्पष्टता की कमी है। उदाहरण के लिए, एक मानक के लिए किसी संगठन को आवश्यक फ़ायरवॉल कॉन्फ़िगरेशन का विवरण दिए बिना या यहां तक ​​कि इसकी आवश्यकता क्यों है, यह बताए बिना वेब एप्लिकेशन फ़ायरवॉल (WAF) को परिनियोजित करने की आवश्यकता हो सकती है। इन आलोचनाओं को पीसीआई एससीसी के सदस्यों द्वारा स्पष्ट और तीखे रूप में व्यक्त किया गया था, और इसके लिए एक नए और बेहतर मानक के विकास की आवश्यकता थी।

मानक के पिछले संस्करणों में, एक विशेष सुरक्षा नियंत्रण आवश्यकता की व्याख्या करने वाले हमेशा दो कॉलम होते थे। पहले कॉलम में आवश्यकता बताई गई, और दूसरे ने परीक्षण प्रक्रिया का विवरण दिया। पीसीआई-डीएसएस 3.0 में तीसरा कॉलम होना चाहिए, जो लीच का कहना है कि इसमें जोखिमों के वास्तविक जीवन के उदाहरण होंगे जिन्हें कम करने के लिए इस सुरक्षा नियंत्रण को डिज़ाइन किया गया है।

इसलिए, WAF के मामले में, नया मानक यह बताएगा कि यह तकनीक क्या कर सकती है और यह किस प्रकार के जोखिमों को कम करने में मदद कर सकती है।

PCI-DSS 3.0 मानक में एक महत्वपूर्ण परिवर्तन पासवर्ड के उपयोग से संबंधित है। पिछले तीन वर्षों में, पीसीआई एससीसी ने पासवर्ड शक्ति अध्ययन की एक श्रृंखला आयोजित की है जिसने नई आवश्यकताओं को तैयार करने में मदद की है।

पीसीआई-डीएसएस 3.0 आवश्यकताओं में से एक जिसे खुदरा विक्रेताओं को पूरा करना होगा, वह है दुर्भावनापूर्ण कोड का समय पर पता लगाना। यह सुनिश्चित करने के लिए विनियमन 5.1.2 जोड़ा गया है कि भुगतान कार्ड डेटा संसाधित करने वाले किसी भी व्यक्ति के पास इस क्षेत्र में एक ध्वनि जोखिम प्रबंधन प्रक्रिया है।

पीसीआई-डीएसएस 3.0 ने सुरक्षा प्रबंधन में लचीलेपन की आवश्यकता पर लगातार जोर दिया है, जिसे विभिन्न तरीकों से हासिल किया जाना चाहिए जिसमें लगातार सुधार किया जा रहा है।

पीसीआई डीएसएस संस्करण 2.0

28 अक्टूबर, 2010 को मानक के एक नए संस्करण का विमोचन देखा गया पीसीआई डीएसएस , अर्थात् संस्करण 2.0। उद्योग को विनियमित करने वाले दस्तावेज़ में पेश किए गए परिवर्तनों को कट्टरपंथी कहना मुश्किल है, वे मुख्य रूप से स्पष्टीकरण और स्पष्टीकरण की प्रकृति में हैं। इसके अलावा, ऑडिट के दौरान उनकी धारणा और कार्यान्वयन को आसान बनाने के लिए कुछ सत्यापन प्रक्रियाओं को नए तरीके से समूहीकृत किया गया है।

हालांकि संस्करण 2.0 मानक 1 जनवरी, 2011 को लागू हुआ, भुगतान कार्ड उद्योग के प्रतिभागी 2011 के अंत तक पिछले संस्करण का उपयोग कर सकते हैं। पीसीआई एसएससी परिषद की यह पहल नए संस्करण में क्रमिक प्रवास की अनुमति देती है। अगला संस्करण पीसीआई एसएससी द्वारा तीन साल के जीवन चक्र में तैयार किया जाएगा।

पीसीआई डीएसएस आवश्यकताएँ

पीसीआई डीएसएस नियंत्रण के निम्नलिखित छह क्षेत्रों और 12 बुनियादी सुरक्षा आवश्यकताओं को परिभाषित करता है।

सुरक्षित नेटवर्क का निर्माण और रखरखाव

मानकों के खुलेपन के बावजूद, कई सवाल जमा होते हैं। हम उनमें से कुछ का उत्तर नीचे देने का प्रयास करेंगे।

1. PCI DSS द्वारा कौन कवर किया जाता है?

सबसे पहले, मानक उन संगठनों के लिए आवश्यकताओं को परिभाषित करता है जिनकी सूचना अवसंरचना भुगतान कार्ड डेटा को संग्रहीत, संसाधित या प्रसारित करती है, साथ ही उन संगठनों के लिए जो इस डेटा की सुरक्षा को प्रभावित कर सकते हैं। मानक का उद्देश्य काफी स्पष्ट है - भुगतान कार्ड के संचलन की सुरक्षा सुनिश्चित करना। 2012 के मध्य से, WPC के भंडारण, प्रसंस्करण और हस्तांतरण की प्रक्रिया में शामिल सभी संगठनों को आवश्यकताओं का पालन करना चाहिए पीसीआई डीएसएस , और रूसी संघ में कंपनियां कोई अपवाद नहीं हैं। यह समझने के लिए कि क्या आपका संगठन मानक की आवश्यकताओं के अनिवार्य अनुपालन के अधीन है पीसीआई डीएसएस , हम एक साधारण ब्लॉक आरेख का उपयोग करने का सुझाव देते हैं।

पहला कदम दो सवालों के जवाब देना है:

• क्या भुगतान कार्ड डेटा आपके संगठन में संग्रहीत, संसाधित या प्रसारित किया जाता है?
• क्या आपके संगठन की व्यावसायिक प्रक्रियाएं भुगतान कार्ड डेटा की सुरक्षा को सीधे प्रभावित कर सकती हैं?

यदि इन दोनों प्रश्नों के उत्तर नकारात्मक हैं, तो इसके अनुसार प्रमाणित करें पीसीआई डीएसएस कोई ज़रुरत नहीं है। कम से कम एक सकारात्मक उत्तर के मामले में, जैसा कि चित्र 1 में देखा गया है, मानक का अनुपालन आवश्यक है।

2. पीसीआई डीएसएस आवश्यकताएं क्या हैं?

मानक के अनुपालन के लिए आवश्यकताओं की पूर्ति की आवश्यकता होती है, जिन्हें नीचे दी गई तालिका में दिखाए गए बारह खंडों में संक्षेपित किया गया है:

यदि आप थोड़ा और गहराई में जाते हैं, तो मानक को लगभग 440 सत्यापन प्रक्रियाओं के पारित होने की आवश्यकता होती है, जो आवश्यकताओं के अनुपालन के लिए जाँच करते समय सकारात्मक परिणाम देना चाहिए।

3. मैं पीसीआई डीएसएस अनुपालन कैसे सत्यापित कर सकता हूं?

मानक की आवश्यकताओं के अनुपालन की पुष्टि करने के कई तरीके हैं पीसीआई डीएसएस जिसे अंजाम देना शामिल है बाह्य लेखा परीक्षा (क्यूएसए) , आंतरिक लेखा परीक्षा (आईएसए) या स्व-मूल्यांकन (एसएक्यू) संगठन।

उनमें से प्रत्येक की विशेषताएं तालिका में सचित्र हैं।

प्रस्तुत विधियों की स्पष्ट सादगी के बावजूद, ग्राहकों को अक्सर उपयुक्त विधि चुनने में गलतफहमी और कठिनाइयों का सामना करना पड़ता है। इसका एक उदाहरण नीचे उभर रहे प्रश्न हैं।

4. किस स्थिति में बाहरी लेखा परीक्षा करना आवश्यक है, और किसमें - आंतरिक? या क्या यह खुद को संगठन के स्व-मूल्यांकन तक सीमित रखने के लिए पर्याप्त है?

इन सवालों के जवाब संगठन के प्रकार और प्रति वर्ष संसाधित लेनदेन की संख्या पर निर्भर करते हैं। यह एक यादृच्छिक विकल्प नहीं होना चाहिए, क्योंकि ऐसे दस्तावेज नियम हैं जो यह नियंत्रित करते हैं कि कोई संगठन किसी मानक के अनुपालन को सत्यापित करने के लिए किस तरीके का उपयोग करेगा। ये सभी आवश्यकताएं अंतरराष्ट्रीय भुगतान प्रणालियों द्वारा निर्धारित की जाती हैं, जिनमें से सबसे लोकप्रिय रूस में हैं वीसातथा मास्टर कार्ड. एक वर्गीकरण भी है जिसके अनुसार दो प्रकार के संगठन प्रतिष्ठित हैं: व्यापार सेवा कंपनियों (व्यापारी)और सेवा प्रदाताओं।

व्यापार और सेवा उद्यमएक संगठन है जो माल और सेवाओं (दुकानों, रेस्तरां, ऑनलाइन स्टोर, गैस स्टेशन, आदि) के भुगतान के लिए भुगतान कार्ड स्वीकार करता है। एक व्यापार और सेवा उद्यम एक ऐसा संगठन है जो वस्तुओं और सेवाओं (दुकानों, रेस्तरां, ऑनलाइन स्टोर, गैस स्टेशन, आदि) के भुगतान के लिए भुगतान कार्ड स्वीकार करता है।

प्रति वर्ष संसाधित लेनदेन की संख्या के आधार पर, व्यापारियों और सेवा प्रदाताओं को विभिन्न स्तरों में वर्गीकृत किया जा सकता है।

मान लें कि एक व्यापार और सेवा उद्यम ई-कॉमर्स का उपयोग करके प्रति वर्ष 1 मिलियन तक लेनदेन की प्रक्रिया करता है। वर्गीकरण के अनुसार वीसातथा मास्टर कार्ड(चित्र 2) संगठन को स्तर 3 के रूप में वर्गीकृत किया जाएगा। इसलिए, अनुपालन की पुष्टि करने के लिए पीसीआई डीएसएस एएसवी (स्वीकृत स्कैनिंग विक्रेता) सूचना बुनियादी ढांचे के घटकों का एक त्रैमासिक बाहरी भेद्यता स्कैन और एक वार्षिक एसएक्यू स्व-मूल्यांकन करना आवश्यक है। इस मामले में, संगठन को अनुपालन के साक्ष्य एकत्र करने की आवश्यकता नहीं है, क्योंकि वर्तमान स्तर के लिए यह आवश्यक नहीं है। पूर्ण एसएक्यू स्व-मूल्यांकन पत्रक रिपोर्टिंग दस्तावेज होगा।

एएसवी स्कैनिंग (स्वीकृत स्कैनिंग विक्रेता)- कमजोरियों की पहचान करने के लिए इंटरनेट से सूचना बुनियादी ढांचे के कनेक्शन के सभी बिंदुओं की स्वचालित जांच। PCI DSS के लिए आवश्यक है कि यह प्रक्रिया तिमाही आधार पर की जाए।

या क्लाउड सेवा प्रदाता के उदाहरण पर विचार करें जो प्रति वर्ष 300,000 से अधिक लेनदेन संसाधित करता है। स्थापित वर्गीकरण के अनुसार वीसाया मास्टर कार्ड, सेवा प्रदाता को स्तर 1 के रूप में वर्गीकृत किया जाएगा। इसका मतलब यह है कि, जैसा कि चित्र 2 में दर्शाया गया है, ASV सूचना अवसंरचना घटकों का एक त्रैमासिक बाहरी भेद्यता स्कैन, साथ ही एक बाहरी वार्षिक QSA ऑडिट करना आवश्यक है।

यह ध्यान दिया जाना चाहिए कि माल या सेवाओं के भुगतान के लिए भुगतान कार्ड स्वीकार करने की प्रक्रिया में भाग लेने वाला बैंक, तथाकथित अधिग्रहण करने वाला बैंक, साथ ही साथ अंतरराष्ट्रीय भुगतान प्रणाली (आईपीएस .) ) उनसे जुड़े व्यापारी या उनके स्वयं के जोखिम मूल्यांकन के अनुसार उपयोग किए जाने वाले सेवा प्रदाता के स्तर को ओवरराइड कर सकते हैं। नियत स्तर चित्र 2 में दर्शाए गए अंतर्राष्ट्रीय भुगतान प्रणाली के वर्गीकरण पर पूर्वता लेगा।

अंतर्राष्ट्रीय भुगतान प्रणालियों (वीज़ा, मास्टरकार्ड, अमेरिकन एक्सप्रेस, डिस्कवर, जेसीबी) के भुगतान कार्ड डेटा को संग्रहीत, संसाधित और संचारित करने वाले संगठनों को पीसीआई डीएसएस मानक की आवश्यकताओं का अनुपालन करना आवश्यक है। भुगतान प्रणालियों ने मानक की आवश्यकताओं के अनुपालन की पुष्टि की आवृत्ति और रूप, साथ ही भुगतान कार्ड डेटा के अनुपालन और समझौता करने में उनकी विफलता के लिए प्रतिबंधों को निर्धारित किया है।

संगठनों को मानक की आवश्यकताओं को पूरा करने में मदद करने के लिए, Informzashchita PCI DSS अनुपालन सेवाओं के लिए विभिन्न विकल्प प्रदान करता है जो क्लाइंट के कार्यों और बारीकियों को ध्यान में रखते हैं। उनमें से:

• पीसीआई डीएसएस अनुपालन।इस सेवा में कंपनी की सूचना सुरक्षा के स्तर को शुरुआत से ही पीसीआई डीएसएस मानक की आवश्यकताओं के अनुरूप लाना शामिल है। शामिल हैं:
• अनुपालन योजना के विकास के साथ प्रारंभिक लेखा परीक्षा;
• सीधे कास्टिंग चरण;
• अंतिम प्रमाणन लेखा परीक्षा।
• पीसीआई डीएसएस अनुपालन बनाए रखें।इस सेवा में उन संगठनों को सहायता शामिल है जिनके पास पहले से ही एक पीसीआई डीएसएस अनुपालन प्रमाणपत्र है और जो इसकी अगली पुष्टि में रुचि रखते हैं।
• पीसीआई डीएसएस प्रमाणन लेखा परीक्षा।यह सेवा उन संगठनों के लिए अभिप्रेत है जिन्होंने आवश्यक पीसीआई डीएसएस सुरक्षा उपायों को स्वतंत्र रूप से लागू किया है और केवल अनुपालन के अंतिम मूल्यांकन में रुचि रखते हैं।
• पीए-डीएसएस मानक की आवश्यकताओं के अनुसार सॉफ्टवेयर प्रमाणन। 2008 में, भुगतान कार्ड उद्योग सुरक्षा परिषद (पीसीआई एसएससी) ने पीसीआई डीएसएस आवश्यकताओं के अनुपालन का समर्थन करने के लिए भुगतान आवेदन डेटा सुरक्षा मानक (पीए-डीएसएस) को अपनाया। वीज़ा और मास्टरकार्ड भुगतान प्रणालियों की आवश्यकताओं के अनुसार, भुगतान कार्ड के साथ प्राधिकरण लेनदेन या निपटान के प्रसंस्करण में शामिल सभी "बॉक्सिंग" अनुप्रयोगों को पीए-डीएसएस मानक के अनुसार प्रमाणित किया जाना चाहिए।
  वीज़ा और मास्टरकार्ड भुगतान प्रणालियों ने प्रमाणित अनुप्रयोगों के उपयोग के लिए व्यापार और सेवा नेटवर्क के एजेंटों और उद्यमों के संक्रमण को पूरा करने के लिए एक समय सीमा निर्धारित की है - 1 जुलाई, 2012।
  केवल PA-QSA स्थिति वाला लेखा परीक्षक ही PA-DSS अनुपालन के लिए आवेदनों को प्रमाणित कर सकता है। Informzashchita यह दर्जा पाने वाली रूस की पहली कंपनी है।
  2009 से, Informzaschita विशेषज्ञ PA-DSS मानक के अनुपालन के लिए ऑडिट कर रहे हैं। काम के दौरान हमने 10 से अधिक अनुप्रयोगों को प्रमाणित किया है: प्रोसेसिंग सॉफ्टवेयर, भुगतान टर्मिनल और ई-कॉमर्स एप्लिकेशन। संचित अनुभव हमें प्रारंभिक कार्य और प्रमाणन करने के लिए डेवलपर के लिए इष्टतम योजना निर्धारित करने की अनुमति देता है। सॉफ्टवेयर के सुरक्षित विकास और रखरखाव को सुनिश्चित करने के लिए आवश्यकताओं का कार्यान्वयन मौजूदा प्रक्रियाओं को ध्यान में रखते हुए किया जाता है। अंतिम दस्तावेजों और सर्वोत्तम प्रथाओं का स्तर पीसीआई एसएससी द्वारा अनिवार्य गुणवत्ता नियंत्रण प्रक्रिया को पारित करने के लिए न्यूनतम समय सुनिश्चित करता है।
• पीए-डीएसएस आवश्यकताओं के साथ सॉफ्टवेयर अनुपालन बनाए रखें।पीए-डीएसएस-प्रमाणित भुगतान आवेदनों में परिवर्तन समीक्षा के अधीन हैं और, कुछ मामलों में, अनिवार्य पुनर्प्रमाणन प्रक्रिया की आवश्यकता होती है। चल रहे प्रमाणन का दायरा और रिपोर्टिंग दस्तावेज़ परिवर्तनों के प्रकार पर निर्भर करता है।
  Informzaschita के प्रमाणित लेखा परीक्षकों के पास मानक की आवश्यकताओं और विक्रेता की वास्तविकताओं को ध्यान में रखते हुए रिलीज़ नीतियों को विकसित करने, मानक द्वारा परिभाषित सभी प्रकार के परिवर्तनों के लिए पुन: प्रमाणन आयोजित करने और PCI SSC के साथ अंतिम दस्तावेज़ों का समन्वय करने का अनुभव है।
  पुनर्प्रमाणन प्रदान करने का दृष्टिकोण डेवलपर की इच्छा के आधार पर बनाया गया है और एप्लिकेशन डेवलपर से अपडेट जारी करने के मौजूदा अभ्यास पर केंद्रित है।
• पीसीआई एएसवी को स्कैन करना, वेब अनुप्रयोगों को स्कैन करना। Informzashchita PCI ASV स्कैन की प्रमाणित (प्रमाणपत्र संख्या 4159-01-08) प्रदाता है। पीसीआई एएसवी स्कैन पीसीआई डीएसएस मानक के खंड 11.2.2 का अनुपालन सुनिश्चित करता है। मानक के औपचारिक अनुपालन के अलावा, पीसीआई एएसवी स्कैनिंग आपको अपने बाहरी नेटवर्क परिधि की सुरक्षा का आकलन करने, कमजोरियों और गलत कॉन्फ़िगरेशन की पहचान करने की अनुमति देती है।
• पीसीआई डीएसएस आवश्यकताओं के अनुसार व्यापक प्रवेश परीक्षा।सेवा में भुगतान कार्ड डेटा या नेटवर्क संसाधनों तक अनधिकृत पहुंच की संभावना का व्यावहारिक मूल्यांकन शामिल है जो भुगतान कार्ड डेटा को संसाधित करता है (पीसीआई डीएसएस के खंड 11.3 में आवश्यक)।
• बैंकों को प्राप्त करने के लिए पीसीआई डीएसएस आवश्यकताओं के साथ व्यापारी अनुपालन के लिए एक कार्यक्रम का विकास।अंतरराष्ट्रीय भुगतान प्रणालियों की आवश्यकताओं के अनुसार, पीसीआई डीएसएस मानक की आवश्यकताओं के साथ अपने व्यापारियों के अनुपालन के लिए अधिग्रहण करने वाले बैंक जिम्मेदार हैं। सेवा के हिस्से के रूप में, अंतरराष्ट्रीय भुगतान प्रणाली खाता सूचना सुरक्षा और साइट डेटा संरक्षण के सुरक्षा कार्यक्रमों के आधार पर पीसीआई डीएसएस मानक की आवश्यकताओं के साथ व्यापारियों के अनुपालन को नियंत्रित करने के लिए एक कार्यक्रम विकसित किया गया है।
• पीसीआई डीएसएस स्व-मूल्यांकन पत्रक को पूरा करने में सहायता।यह सेवा उन व्यापारियों और सेवा प्रदाताओं के लिए अभिप्रेत है जिनके पास कम लेनदेन मात्रा है। सेवा के हिस्से के रूप में, Informzashchita पीसीआई डीएसएस स्व-मूल्यांकन पत्रक भरने के अनुपालन का आकलन करने में सहायता प्रदान करता है।

काम करने से मानक द्वारा निर्धारित आवश्यकताओं को पूरा करना संभव हो जाएगा, भुगतान कार्ड डेटा से समझौता करने के जोखिम को कम करना और अंतरराष्ट्रीय भुगतान प्रणालियों से प्रतिबंधों से बचना संभव होगा।

Informzashchita QSA और ASV दर्जा प्राप्त करने वाली रूसी संघ की पहली कंपनी थी, जो इसे PCI DSS प्रमाणन ऑडिट और बाहरी ASV स्कैन करने का अधिकार देती है। प्रमाणित QSA लेखा परीक्षकों की संख्या के मामले में, Informzashchita अन्य रूसी कंपनियों से आगे निकल जाती है। इस प्रकार, एक व्यक्तिगत विशेषज्ञ प्रत्येक ग्राहक के साथ काम करता है। कंपनी ने पीसीआई एसएससी द्वारा रिपोर्ट के गुणवत्ता नियंत्रण को सफलतापूर्वक पारित किया है, जिसने ग्राहकों को प्रदान की जाने वाली सेवाओं की उच्च गुणवत्ता की पुष्टि की है। 2006 से, कंपनी ने बैंकों, स्वतंत्र प्रसंस्करण केंद्रों, सेवा प्रदाताओं, डेटा केंद्रों और व्यापारियों के लिए 90 से अधिक PCI DSS अनुपालन और प्रमाणन परियोजनाओं को पूरा किया है।

कोई भी उद्देश्य और सार्थक पैठ परीक्षण अवश्य होना चाहिए
सिफारिशों और नियमों के अनुसार किया जाएगा। कम से कम होना
एक सक्षम विशेषज्ञ और कुछ भी याद नहीं करने के लिए। तो अगर आप अपने को बांधना चाहते हैं
पेंटेस्ट के साथ पेशेवर गतिविधि - अपने आप को परिचित करना सुनिश्चित करें
मानक। और सबसे पहले - मेरे लेख के साथ।

सूचना प्रवेश परीक्षण के नियम और ढांचे को कार्यप्रणाली में प्रस्तुत किया गया है
ओएसएसटीएमएमतथा ओडब्ल्यूएएसपी. इसके बाद, प्राप्त डेटा आसानी से हो सकता है
किसी भी औद्योगिक के साथ अनुरूपता मूल्यांकन के लिए अनुकूलित
मानकों और "सर्वोत्तम विश्व प्रथाओं" जैसे कि, सीओबीआईटी,
श्रृंखला मानक आईएसओ/आईईसी 2700x, सिफारिशें सीआईएस/बिना/निस्तो/आदि
और - हमारे मामले में - मानक पीसीआई डीएसएस.

बेशक, परीक्षण के दौरान प्राप्त संचित डेटा
पैठ, उद्योग मानकों के अनुसार पूर्ण मूल्यांकन करने के लिए
पर्याप्त नहीं होगा। लेकिन इसलिए यह एक परीक्षा नहीं, बल्कि एक परीक्षा है। इसके अलावा, के लिए
इस तरह के मूल्यांकन का पूर्ण कार्यान्वयन, केवल तकनीकी डेटा
कोई भी पर्याप्त नहीं होगा। पूर्ण मूल्यांकन के लिए, कर्मचारियों के साक्षात्कार की आवश्यकता होती है।
कंपनी के विभिन्न विभागों का मूल्यांकन किया जा रहा है, प्रशासनिक विश्लेषण
प्रलेखन, विभिन्न आईटी / आईएस प्रक्रियाएं और बहुत कुछ।

आवश्यकतानुसार पैठ परीक्षण के संबंध में
भुगतान कार्ड उद्योग में सूचना सुरक्षा के लिए मानक - यह ज्यादा नहीं है
विधियों का उपयोग करके किए गए पारंपरिक परीक्षण से अलग है
ओएसएसटीएमएमतथा ओडब्ल्यूएएसपी. इसके अलावा, मानक पीसीआई डीएसएसअनुशंसित
नियमों का पालन करने के लिए ओडब्ल्यूएएसपीपेंटेस्ट (एएसवी) और . दोनों का संचालन करते समय
ऑडिट (क्यूएसए)।

परीक्षण के बीच मुख्य अंतर पीसीआई डीएसएसपरीक्षण से तक
शब्द के व्यापक अर्थों में प्रवेश इस प्रकार है:

1. के साथ हमलों को अंजाम देने के लिए मानक विनियमित नहीं करता है (और इसलिए इसकी आवश्यकता नहीं है)
   सामाजिक इंजीनियरिंग का उपयोग करना।
2. किए गए सभी चेक "इनकार" के खतरे को कम करना चाहिए
   सेवा (DoS) इसलिए, परीक्षण होना चाहिए
   अनिवार्य चेतावनी के साथ "ग्रे बॉक्स" विधि द्वारा किया गया
   संबंधित सिस्टम प्रशासक।
3. इस तरह के परीक्षण का मुख्य उद्देश्य लागू करने का प्रयास है
   भुगतान कार्ड डेटा तक अनधिकृत पहुंच (पैन, कार्डधारक का नाम और
   आदि।)।

"ग्रे बॉक्स" विधि विभिन्न के कार्यान्वयन को संदर्भित करती है
के बारे में अतिरिक्त जानकारी की प्रारंभिक प्राप्ति के साथ चेक के प्रकार
परीक्षण के विभिन्न चरणों में अध्ययन के तहत प्रणाली। यह जोखिम को कम करता है
सूचना के संबंध में ऐसा कार्य करते समय सेवा से वंचित करना
24/7 काम कर रहे संसाधन।

सामान्य तौर पर, पीसीआई प्रवेश परीक्षण चाहिए
निम्नलिखित मानदंडों को पूरा करें:

• खंड 11.1 (बी) - वायरलेस नेटवर्क सुरक्षा विश्लेषण
• खंड 11.2 - कमजोरियों के लिए सूचना नेटवर्क को स्कैन करना (एएसवी)
• 11.3.1 - नेटवर्क लेयर (नेटवर्क-लेयर .) पर जांच करना
  पैठ परीक्षण)
• खंड 11.3.2 - आवेदन स्तर पर जांच करना (आवेदन-परत
  पैठ परीक्षण)

यह सिद्धांत को समाप्त करता है और हम अभ्यास के लिए आगे बढ़ते हैं।

चल रहे शोध की सीमाओं का निर्धारण

सबसे पहले, आपको प्रवेश परीक्षण की सीमाओं को समझने की जरूरत है,
किए जाने वाले कार्यों के क्रम को निर्धारित करना और सहमत होना। अपने सर्वोत्तम स्तर पर
इस मामले में, आईएस विभाग एक नेटवर्क मानचित्र प्राप्त कर सकता है जिस पर
योजनाबद्ध रूप से दिखाता है कि प्रसंस्करण केंद्र सामान्य के साथ कैसे संपर्क करता है
आधारभूत संरचना। कम से कम, आपको सिस्टम एडमिनिस्ट्रेटर के साथ संवाद करना होगा,
जो अपने स्वयं के जाम से अवगत है और व्यापक डेटा प्राप्त कर रहा है
जानकारी साझा करने की उसकी अनिच्छा से सूचना प्रणाली बाधित होगी
अद्वितीय (या नहीं - लगभग। Forb) ज्ञान। एक तरह से या किसी अन्य के क्रम में
पीसीआई डीएसएस पेंटेस्ट को कम से कम निम्नलिखित जानकारी की आवश्यकता है:

• नेटवर्क विभाजन (उपयोगकर्ता, तकनीकी, डीएमजेड, प्रसंस्करण और
  आदि।);
• सबनेट सीमाओं पर फ़ायरवॉल (ACL/ITU);
• प्रयुक्त वेब एप्लिकेशन और डीबीएमएस (परीक्षण और उत्पादक दोनों);
• वायरलेस नेटवर्क का इस्तेमाल किया;
• किसी भी सुरक्षा विवरण को ध्यान में रखा जाना चाहिए
  सर्वेक्षण के दौरान (उदाहरण के लिए, N . पर खातों को अवरुद्ध करना)
  गलत प्रमाणीकरण प्रयास), बुनियादी ढांचे की विशिष्टताएं, और सामान्य
  परीक्षण की कामना करता है।

ऊपर सूचीबद्ध सभी आवश्यक जानकारी के साथ, आप कर सकते हैं
अपने अस्थायी आश्रय को सबसे इष्टतम नेटवर्क खंड में व्यवस्थित करें और
सूचना प्रणाली की जांच शुरू

नेटवर्क-लेयर पैठ परीक्षण

आरंभ करने के लिए, यह उपयोग करके गुजरने वाले नेटवर्क ट्रैफ़िक का विश्लेषण करने योग्य है
नेटवर्क कार्ड के "विषम" मोड में कोई भी नेटवर्क विश्लेषक
(अनेक मोड)। समान उद्देश्यों के लिए एक नेटवर्क विश्लेषक के रूप में
बढ़िया फिट या कॉमव्यू। इस स्टेप को पूरा होने में 1-2 घंटे का समय लगेगा।
सूंघना इस समय के बाद, पूरा करने के लिए पर्याप्त डेटा जमा हो जाएगा
बाधित यातायात का विश्लेषण। और सबसे पहले, इसका विश्लेषण करते समय,
निम्नलिखित प्रोटोकॉल पर ध्यान दें:

• स्विचिंग प्रोटोकॉल (एसटीपी, डीटीपी, आदि);
• रूटिंग प्रोटोकॉल (RIP, EIGRP, आदि);
• डायनेमिक होस्ट कॉन्फ़िगरेशन प्रोटोकॉल (डीएचसीपी, बीओओटीपी);
• खुले प्रोटोकॉल (टेलनेट, रॉगिन, आदि)।

खुले प्रोटोकॉल के लिए, संभावना है कि वे गिर जाएंगे
स्विच किए गए नेटवर्क में ट्रैफ़िक को सूँघने का समय काफी कम होता है।
हालाँकि, यदि इस तरह का बहुत अधिक ट्रैफ़िक है, तो अध्ययन के तहत नेटवर्क में स्पष्ट रूप से मनाया जाता है
नेटवर्क उपकरण की सेटिंग में समस्याएं।

अन्य सभी मामलों में, सुंदर हमले करने की संभावना है:

• क्लासिक MITM (बीच में आदमी) हमले के मामले में जब
  डीएचसीपी, आरआईपी
• एसटीपी रूट नोड (रूट ब्रिज) की भूमिका प्राप्त करना, जो अनुमति देता है
  पड़ोसी क्षेत्रों का अवरोधन यातायात
• डीटीपी (ट्रंकिंग सक्षम करें) का उपयोग करके पोर्ट को ट्रंक मोड में स्विच करना;
  आपको अपने सेगमेंट के सभी ट्रैफ़िक को इंटरसेप्ट करने की अनुमति देता है
• और आदि।

स्विचिंग प्रोटोकॉल पर हमलों को लागू करने के लिए एक अद्भुत उपकरण उपलब्ध है
यर्सिनिया। मान लीजिए कि यातायात विश्लेषण की प्रक्रिया में, उड़ान
पिछले डीटीपी पैकेट (स्क्रीनशॉट देखें)। फिर एक डीटीपी एक्सेस/वांछनीय पैकेट भेजना
स्विच पोर्ट को ट्रंक मोड पर सेट करने की अनुमति दे सकता है। आगे
इस हमले का विकास आपको अपने खंड को सुनने की अनुमति देता है।

लिंक परत का परीक्षण करने के बाद, यह तीसरे पर ध्यान देने योग्य है
ओएसआई परत। एआरपी-विषाक्तता हमले की बारी आ गई है। यहाँ सब कुछ सरल है।
एक उपकरण चुनें, उदाहरण के लिए,

और आईएस कर्मचारियों के साथ इस हमले के विवरण पर चर्चा करें (सहित
एकतरफा एसएसएल को बाधित करने के उद्देश्य से हमले की आवश्यकता)।
बात यह है कि एआरपी-विषाक्तता हमले के सफल कार्यान्वयन के मामले में
अपने पूरे खंड में, एक स्थिति उत्पन्न हो सकती है जब हमलावर का कंप्यूटर नहीं होता है
आने वाले डेटा के प्रवाह से निपटें और अंततः, यह बन सकता है
पूरे नेटवर्क खंड के लिए सेवा से इनकार करने का कारण। इसलिए, सबसे सही
एकल लक्ष्यों का चयन करेगा, जैसे कि व्यवस्थापक कार्यस्थान और/या
डेवलपर्स, कोई विशिष्ट सर्वर (संभवतः एक डोमेन नियंत्रक,
डीबीएमएस, टर्मिनल सर्वर, आदि)।

एक सफल एआरपी-विषाक्तता हमला आपको स्पष्ट होने की अनुमति देता है
विभिन्न सूचना संसाधनों के पासवर्ड - डीबीएमएस, डोमेन कैटलॉग (के साथ
एनटीएलएम प्रमाणीकरण डाउनग्रेड), एसएनएमपी-सामुदायिक स्ट्रिंग, आदि। से कम
सौभाग्य से, हैश मान पासवर्ड से विभिन्न प्रणालियों में प्राप्त किए जा सकते हैं,
जिसे पेंटेस्ट के दौरान बहाल करने की आवश्यकता होगी
रेनबो टेबल (इंद्रधनुष टेबल), शब्दकोश द्वारा या "माथे पर" हमले द्वारा। पकड़ी
पासवर्ड का उपयोग कहीं और किया जा सकता है, और बाद में इसकी भी आवश्यकता होती है
पुष्टि या इनकार।

इसके अलावा, उपस्थिति के लिए सभी अवरोधित यातायात का विश्लेषण करना उचित है
CAV2/CVC2/CVV2/CID/पिन स्पष्ट रूप से प्रेषित। इसके लिए आप स्किप कर सकते हैं
NetResident और/या . के माध्यम से सहेजी गई कैप फ़ाइल
.
दूसरा, वैसे, सामान्य रूप से संचित यातायात का विश्लेषण करने के लिए बहुत अच्छा है।

अनुप्रयोग-परत प्रवेश परीक्षण

आइए चौथी OSI लेयर पर चलते हैं। यहाँ, सबसे पहले, यह सब नीचे आता है
सर्वेक्षण किए गए नेटवर्क की वाद्य स्कैनिंग। इसे कैसे निभाएं? चुनाव गलत है
बहुत बड़ा। Nmap in . का उपयोग करके प्रारंभिक स्कैन किया जा सकता है
"फास्ट स्कैन" मोड (स्विच -F -T आक्रामक|पागल), और निम्नलिखित चरणों में
विशिष्ट बंदरगाहों (स्विच-पी) पर स्कैन करने के लिए परीक्षण, उदाहरण के लिए,
से जुड़े सबसे संभावित प्रवेश वैक्टर का पता लगाने के मामलों में
कुछ नेटवर्क सेवाओं में कमजोरियां। समानांतर में, यह स्कैनर चलाने लायक है
सुरक्षा - Nessus या XSpider (बाद वाले के खराब परिणाम होंगे) in
केवल सुरक्षित जांच करने का तरीका। के लिए स्कैन करते समय
कमजोरियों, पुरानी प्रणालियों की उपस्थिति पर भी ध्यान देना आवश्यक है
(उदाहरण के लिए, विंडोज एनटी 4.0), क्योंकि पीसीआई मानक उन्हें प्रतिबंधित करता है
कार्डधारक डेटा के प्रसंस्करण में उपयोग करें।

यह इसके लायक नहीं है, जब किसी भी सेवा में एक महत्वपूर्ण भेद्यता पाई जाती है, तुरंत
इसका फायदा उठाने के लिए दौड़ पड़ते हैं। पीसीआई पर परीक्षण करते समय सही दृष्टिकोण -
यह, सबसे पहले, विषय की सुरक्षा की स्थिति की अधिक संपूर्ण तस्वीर प्राप्त करने के लिए
प्रणाली (क्या यह भेद्यता यादृच्छिक है या यह सर्वव्यापी है),
और दूसरी बात, पहचान की गई कमजोरियों का फायदा उठाने के लिए अपने कार्यों का समन्वय करना
कुछ सिस्टम।

वाद्य परीक्षा के परिणाम समग्र चित्र होना चाहिए
कार्यान्वित आईएस प्रक्रियाएं और सुरक्षा की स्थिति की सतही समझ
आधारभूत संरचना। स्कैन के विकास के दौरान, आप स्वयं से परिचित होने के लिए कह सकते हैं
कंपनी द्वारा उपयोग की जाने वाली सूचना सुरक्षा नीति। सामान्य आत्म-विकास के लिए :)।

अगला चरण पैठ के लिए लक्ष्यों का चुनाव है। इस स्तर पर, आपको चाहिए
सुनने के दौरान प्राप्त सभी एकत्रित सूचनाओं का विश्लेषण करें
यातायात और भेद्यता स्कैनिंग। संभवत: इस समय तक
कमजोर या संभावित रूप से कमजोर प्रणालियों का पता लगाएं। इसलिए आया
इन कमियों का लाभ उठाने का समय आ गया है।

जैसा कि अभ्यास से पता चलता है, काम निम्नलिखित तीन क्षेत्रों में होता है।

1. नेटवर्क सेवाओं में कमजोरियों का शोषण

सुदूर अतीत में, एक समय था जब कुलीन वर्ग का शोषण होता था,
कम से कम किसी और के कोड को इकट्ठा करने में सक्षम और (हे भगवान!) अपना खुद का शेलकोड तैयार करें।
अब नेटवर्क सेवाओं में कमजोरियों का शोषण, जैसे कि अतिप्रवाह
बफ़र्स और उनके जैसे अन्य, सभी के लिए उपलब्ध हैं। इसके अलावा, प्रक्रिया अधिक से अधिक पसंद है
खोज खेल। कम से कम कोर इम्पैक्ट लें, जिसमें पूरा पंचतत्व कम हो जाए
एक अच्छे GUI आवरण में विभिन्न ड्रॉप-डाउन मेनू पर क्लिक करने के लिए।
ऐसा टूलकिट बहुत समय बचाता है, जो आंतरिक परीक्षण के दौरान
इतना नहीं। क्योंकि चुटकुले चुटकुले हैं, और फीचर सेट कोर इम्पैक्ट में लागू किया गया है,
अनुमति देता है, विशेष रूप से परेशान किए बिना, लगातार संचालन करने के लिए, उठाने
विशेषाधिकार, जानकारी एकत्र करना और सिस्टम में आपके रहने के निशान को हटाना। वी
इसलिए, मुख्य प्रभाव पश्चिमी लेखा परीक्षकों के साथ विशेष रूप से लोकप्रिय है और
पेंटेस्टर

इस प्रकार के सार्वजनिक साधनों में से निम्नलिखित का उल्लेख किया जा सकता है।
असेंबली: कोर इम्पैक्ट, कैनवस, सैंटएक्सप्लॉइट और सभी का पसंदीदा मेटास्प्लोइट फ्रेमवर्क।
पहले तीन के लिए, ये सभी वाणिज्यिक उत्पाद हैं। सच है, कुछ
वाणिज्यिक असेंबलियों के पुराने संस्करण एक समय में इंटरनेट पर लीक हो गए। अगर वांछित है
आप उन्हें वैश्विक नेटवर्क पर पा सकते हैं (स्वाभाविक रूप से, केवल के उद्देश्य के लिए)
स्व-शिक्षा)। ठीक है, सभी मुफ्त ताजा विभाजन Metasploit . में उपलब्ध है
ढांचा। बेशक, जीरो-डे बिल्ड हैं, लेकिन यह पूरी तरह से अलग पैसा है।
इसके अलावा, एक विवादास्पद राय है कि एक पंचक आयोजित करते समय, उनका उपयोग
पूर्णतः न्यायसंगत नहीं है।

नेटवर्क स्कैन डेटा के आधार पर, आप थोड़ा हैकर खेल सकते हैं :)।
लक्ष्यों की सूची पर पहले सहमत होने के बाद, पता लगाए गए ऑपरेशन को अंजाम दें
कमजोरियां, और फिर कैप्चर किए गए सिस्टम का सतही स्थानीय ऑडिट करें।
कमजोर प्रणालियों पर एकत्रित जानकारी में सुधार हो सकता है
अन्य नेटवर्क संसाधनों पर विशेषाधिकार। यानी अगर हमले के दौरान
आपने विंडोज को दूषित कर दिया है, तो एसएएम डेटाबेस को इससे (fgdump) से हटाना अतिश्योक्तिपूर्ण नहीं होगा
बाद में पासवर्ड पुनर्प्राप्ति, साथ ही एलएसए रहस्य (कैन और हाबिल), जिसमें
अक्सर बहुत सी उपयोगी जानकारी को क्लियर में स्टोर किया जा सकता है। वैसे,
सभी काम हो जाने के बाद, पासवर्ड के बारे में एकत्रित जानकारी को माना जा सकता है
पीसीआई डीएसएस मानक की आवश्यकताओं के अनुपालन या गैर-अनुपालन का संदर्भ (खंड 2.1,
2.1.1, 6.3.5, 6.3.6, 8.4, 8.5.x)।

2. अभिगम नियंत्रण का विश्लेषण

सभी सूचनाओं पर अभिगम नियंत्रण का विश्लेषण किया जाना चाहिए
जिन संसाधनों पर एनएसडी को लागू करना संभव था। और फ़ाइल शेयरों पर
विंडोज़ (एसएमबी), जिस पर अनाम पहुंच खुली है - भी। यह अक्सर अनुमति देता है
में नहीं खोजे गए संसाधनों के बारे में अतिरिक्त जानकारी प्राप्त करें
नेटवर्क स्कैनिंग समय, या अन्य जानकारी पर ठोकर, विभिन्न
गोपनीयता की डिग्री स्पष्ट में संग्रहीत। जैसा कि मैंने पहले ही कहा, पर
पीसीआई परीक्षण करना, सबसे पहले, खोज का उद्देश्य पता लगाना है
कार्डधारक डेटा। इसलिए, यह समझना महत्वपूर्ण है कि यह डेटा कैसा दिख सकता है और
उन्हें सभी सूचना संसाधनों में खोजें जिनके लिए उपयुक्त है
पहुंच।

3. क्रूर बल हमला

कम से कम डिफ़ॉल्ट और सरल लॉगिन-पासवर्ड संयोजनों की जांच करना आवश्यक है।
नेटवर्क के संबंध में सबसे पहले इस तरह की जांच की जानी चाहिए
उपकरण (एसएनएमपी सहित) और दूरस्थ प्रशासन इंटरफेस।
पीसीआई डीएसएस पर एएसवी स्कैन करते समय, इसे "भारी" करने की अनुमति नहीं है
पाशविक बल, जो एक DoS स्थिति को जन्म दे सकता है। लेकिन हमारे मामले में यह है
आंतरिक पीसीआई पेंटेस्ट के बारे में, और इसलिए, एक उचित रूप में और कट्टरता के बिना, इसकी कीमत होती है
विभिन्न पासवर्डों के सरल संयोजनों के चयन पर हमला करने के लिए
सूचना संसाधन (DBMS, WEB, OS, आदि)।

अगला कदम वेब अनुप्रयोगों की सुरक्षा का विश्लेषण करना है। पीसीआई पेंटेस्ट के दौरान
वेब भाषण के गहन विश्लेषण के बारे में नहीं जाता है। आइए इसे QSAs पर छोड़ दें। यहाँ
चयनात्मक सत्यापन के साथ ब्लैकबॉक्स स्कैन करने के लिए पर्याप्त है
शोषक सर्वर/क्लाइंट-साइड भेद्यताएं। उन लोगों के अलावा जिनका पहले ही उल्लेख किया जा चुका है
सुरक्षा स्कैनर, आप विश्लेषण के लिए बनाए गए स्कैनर का उपयोग कर सकते हैं
वेब। आदर्श समाधान निश्चित रूप से HP WebInspect है या
(जो, वैसे, AJAX में बग का पता लगाने में उत्कृष्ट है)। लेकिन यह सब है
महँगा और वहनीय विलासिता, और यदि ऐसा है, तो w3af हमारे लिए उपयुक्त होगा, जो कि
हाल ही में विभिन्न प्रकार का पता लगाने के मामले में गति प्राप्त कर रहा है
वेब अनुप्रयोगों में कमजोरियां।

वेब में कमजोरियों के मैन्युअल सत्यापन के संबंध में! कम से कम जरूरी है
प्रमाणीकरण और प्राधिकरण के तंत्र की जाँच करें, सरल का उपयोग
लॉगिन-पासवर्ड संयोजन, डिफ़ॉल्ट, और सभी के पसंदीदा SQL इंजेक्शन,
सर्वर पर फ़ाइलें और निष्पादन आदेश सहित। क्लाइंट-साइड के लिए
भेद्यता, फिर, एक भेद्यता के शोषण की संभावना को सत्यापित करने के अलावा, यहां
अधिक कुछ नहीं चाहिए। लेकिन सर्वर-साइड के साथ, आपको थोड़ा टिंकर करने की आवश्यकता है,
क्योंकि यह अभी भी एक पंचतम है, यद्यपि PCI DSS के अनुसार। जैसा कि मैंने पहले उल्लेख किया है, हम पैन की तलाश कर रहे हैं,
कार्डधारक का नाम और CVC2/CVV2 वैकल्पिक। सबसे अधिक संभावना है, ऐसा डेटा
DBMS में निहित हैं, और इसलिए, यदि कोई SQL इंजेक्शन पाया जाता है, तो यह नामों का मूल्यांकन करने योग्य है
टेबल, कॉलम; कई परीक्षण नमूने बनाने के लिए वांछनीय है
डेटाबेस में ऐसे डेटा की मौजूदगी की पुष्टि या खंडन करना
अनएन्क्रिप्टेड रूप में। यदि आप ब्लाइंड एसक्यूएल इंजेक्शन का सामना करते हैं, तो इसे उकसाना बेहतर है
वेब सर्वर के लिए (साथ
--dump-all key), जो वर्तमान में MySQL, Oracle के साथ काम करता है,
PostgreSQL और Microsoft SQL सर्वर। यह डेटा प्रदर्शित करने के लिए पर्याप्त होगा
भेद्यता का शोषण।

अगला कदम डीबीएमएस की सुरक्षा का विश्लेषण करना है। फिर से, एक महान . है
टूल - "एप्लिकेशन सिक्योरिटी इंक" से ऐपडिटेक्टिव, लेकिन यह महंगा है
आनंद। दुर्भाग्य से, एक समान सुरक्षा स्कैनर जो जारी करेगा
AppDetective जितनी अधिक जानकारी प्राप्त कर सकता है, और उसी का समर्थन करता है
डीबीएमएस वर्तमान में मौजूद नहीं है। और इसलिए आपको बोर्ड पर उतरना होगा
कई अलग-अलग, असंबंधित उत्पाद जिन्हें शार्प किया गया है
कुछ विक्रेताओं के साथ काम करें। तो, ओरेकल के लिए, न्यूनतम सेट
पेंटेस्टर इस प्रकार होगा:

• Oracle डेटाबेस क्लाइंट - DBMS के साथ काम करने का वातावरण
• Oracle के लिए टॉड - PL/SQL के साथ काम करने के लिए क्लाइंट
• Oracle आकलन किट - पाशविक बल उपयोगकर्ता और डेटाबेस SIDs
• विभिन्न PL/SQL स्क्रिप्ट (उदाहरण के लिए, एक कॉन्फ़िगरेशन ऑडिट या
  ओएस कमांड के निष्पादन के स्तर तक नीचे जाने की क्षमता)

पीसीआई पैठ परीक्षण का अंतिम चरण विश्लेषण है
वायरलेस नेटवर्क की सुरक्षा, या यों कहें, विश्लेषण भी नहीं, बल्कि पहुंच बिंदुओं की खोज,
ओपन एपी, डब्ल्यूईपी, और डब्ल्यूपीए/पीएसके जैसे कमजोर कॉन्फ़िगरेशन का उपयोग करना। दूसरे के साथ
दूसरी ओर, पीसीआई मानक अधिक गहन विश्लेषण को प्रतिबंधित नहीं करता है, जिसमें शामिल हैं
वायरलेस नेटवर्क से कनेक्ट करने के लिए पुनर्प्राप्ति कुंजियों के साथ। क्योंकि यह समझ में आता है
इस तरह के काम को अंजाम देना। इस स्तर पर मुख्य उपकरण,
निश्चित रूप से एयरक्रैक-एनजी होगा। इसके अतिरिक्त, आप उद्देश्य से हमला कर सकते हैं
वायरलेस क्लाइंट, जिसे "कैफ़ लेटे" के रूप में जाना जाता है, उसी का उपयोग करते हुए
उपकरण। वायरलेस नेटवर्क का सर्वेक्षण करते समय, आप सुरक्षित रूप से कर सकते हैं
साइट से डेटा द्वारा निर्देशित हो
वायरलेस डिफेंस.ओआरजी।

निष्कर्ष के बजाय

परीक्षण के परिणामों के आधार पर, सभी एकत्रित सूचनाओं का विश्लेषण किया जाता है
पीसीआई डीएसएस मानक की तकनीकी आवश्यकताओं के अनुपालन के संदर्भ में। और जैसा कि मैं पहले से ही
शुरुआत में ही नोट किया गया था, उसी तरह, पेंटेस्ट के दौरान प्राप्त डेटा हो सकता है
किसी अन्य उच्च-स्तरीय दस्तावेज़ के संदर्भ में व्याख्या की गई,
प्रबंधन प्रणाली के लिए तकनीकी मानदंड और सिफारिशें शामिल हैं
सूचना सुरक्षा। रिपोर्टिंग के लिए प्रयुक्त टेम्पलेट के संबंध में
PCI दस्तावेज़, आप PCI के लिए मास्टरकार्ड की आवश्यकताओं का उपयोग कर सकते हैं
एएसवी स्कैनिंग। वे रिपोर्ट को दो दस्तावेजों में विभाजित करने का प्रावधान करते हैं -
प्रबंधक के लिए शीर्ष-स्तरीय दस्तावेज़, जिसमें सुंदर रेखांकन होते हैं
और पीसीआई डीएसएस की आवश्यकताओं के साथ सिस्टम की वर्तमान स्थिति के अनुपालन का प्रतिशत इंगित किया गया है,
और एक तकनीकी दस्तावेज जिसमें परीक्षण का एक प्रोटोकॉल शामिल है
पैठ, पहचानी गई और शोषण की कमजोरियों के साथ-साथ सिफारिशों के लिए
सूचना प्रणाली को मास्टरकार्ड की आवश्यकताओं के अनुरूप लाना।
इसलिए मैं अलविदा कह सकता हूं और आपके शोध में शुभकामनाएं देता हूं!

www

pcisecuritystandards.org - PCI सुरक्षा मानक परिषद।
pcisecurity.ru - पोर्टल,
Informzaschita से PCI DSS को समर्पित।
pcidss.ru एक पोर्टल है जो समर्पित है
डिजिटल सुरक्षा से पीसीआई डीएसएस।
isecom.org/osstmm - खुला
स्रोत सुरक्षा परीक्षण पद्धति मैनुअल।
owasp.org - वेब एप्लिकेशन खोलें
सुरक्षा परियोजना।