Что такое ASV-сканирование

Сегодня тема безопасности, пожалуй, самая актуальная в современном ИТ-сообществе. Все мы так или иначе покупаем или продаем в Интернете. Мы вводим свои личные данные, в том числе данные наших карт, совершая большое количество транзакций. Мы все хотим быть уверены, что наши данные в безопасности и обрабатываются должным образом.

ASV сканирование – это уникальная и совершенная автоматизированная проверка всех точек подключения информационной инфраструктуры к Интернету на имеющиеся уязвимости.

Поэтому крупнейшие платежные системы разработали PCI DSS. Это мировой стандарт безопасности обработки платежей и личных данных. Компании, попадающие в список обработки данных, обязаны проводить сканирование ASV ежеквартально. Это высокоуровневый тест, который помогает находить уязвимости в архитектурах ИТ-технологий этих компаний.

Статистика за 2019 год показывает, что только в США официально зарегистрировано более 650 тысяч случаев кражи личных данных. Подавляющее большинство этих краж - это данные личных банковских карт. При этом, если злоумышленники получают доступ к банковским картам и номерам CVC2 или CVV, то вина лежит на компании, обработавшей эти данные. Именно для таких случаев проводится сканирование ASV, и ответственные за это компании обязаны проводить его регулярно, чтобы избежать подобных инцидентов.

Сканирование ASV представляет собой процедуру, которая проводится ежеквартально. Для этого прямо со всех точек подключения к сети выполняется проверка на уязвимости. Эта проверка соответствует всем стандартам PCI DSS и применяется ко всем предприятиям, имеющих дело с информацией о держателях банковских платежных карт.

Существует международный стандарт классификации, основанный на объеме сделок. Компании классифицируют на 4 уровня, и в зависимости от объема сделок, процедура сканирования может отличаться.

Классификация компаний для ASV-сканирования

Описание уровней будет идти от самого большого (4) до наименьшего (1). Этот принцип можно объяснить тем, что на 4-й уровень приходится меньший объем транзакций в год, а на первый - более шести миллионов.

• Четвертый уровень: компании, обрабатывающие до 20 000 транзакционных операций ежегодно. Такие предприятия подпадают под ежеквартальный аудит внешних адресов на предмет уязвимостей и заполнение специальной анкеты. Этот уровень (равно как и третий) подлежит наименьшей проверке.
• Третий уровень: компании, обрабатывающие от 20 000 до 1 000 000 транзакций ежегодно. Им предъявляются схожие требования, как для компаний уровнем выше.
• Второй уровень: компании, обрабатывающие от 1 млн до 6 млн транзакций в год. Такие компании обязаны проводить ежеквартальные проверки с привлечением всей аудиторской компании.
• Первый: более 6 миллионов транзакций в год. Эти компании обязаны проводить ежеквартальное сканирование только с участием независимого аудитора.

Преимущества сканирования ASV

Программа PCI ASV была разработана для поиска угроз, которые могут повлиять на безопасность платежной системы, и гарантирует, что все провайдеры PCI ASV имеют квалификацию.

Используя сканирование PCI ASV, вы поддерживаете мониторинг сети на предмет безопасности и сохраняете соответствие стандартам PCI DSS.

Подробнее о сканировании ASV

PCI DSS - это общепринятый стандарт безопасности информации в сфере интернет-платежей. Протокол разработан PCI SSC - специальным советом по стандартам безопасности интернет-банкинга. Установленные нормы определяют требования по необходимым мерам безопасности в области хранения и обработки данных банковских карт международных платежных систем.

Согласно авторитетным источникам, у различных международных платежных систем варьируются требования, предъявляемые, например, онлайн-магазинам, к процессу проверки соответствия стандартам. Эти разные этапы подтверждения различаются для организаций. На список требований влияет в первую очередь число обрабатываемых транзакций. В рамках проверки используют следующие методы:

• Внешний QSA аудит, проводимый предприятием PCI QSA на территории объекта аудита;
• Самооценка, проводимая компанией самостоятельно путем заполнения анкеты;
• Методология аудита и набор требований варьируется в зависимости от провайдера услуг.

Также стоит отметить, что люди, отвечающие за сканирование ASV, несут большую ответственность. Они оставляют за собой обязательство гарантировать, что их решение по результатам сканирования поддерживается с точки зрения безопасности. Кроме того, это никоим образом не повлияет на оптимальную производительность среды сканирования.

Как это работает?

Как правило, ASV-провайдеры предлагают услуги сканирования ASV в двух вариантах:

• Управляемое обслуживание: отвечающие за сканирование специалисты просканируют среду по согласованному графику и после сканирования предоставят вам свидетельства о соответствии требованиям. Кроме того, они предоставят информацию и рекомендации по исправлению уязвимостей перед повторным сканированием.
• Портал самообслуживания: вы запускаете сканирование через систему проверки, завершаете исправление и используете встроенный рабочий процесс для отправки сканирования специалистам для подтверждения. После завершения вы сможете загрузить результат сканирования.

В случаях, когда программы-вымогатели могут сильно повлиять на безопасность данных держателей карт, рекомендуется провести тестирование с помощью методов социальной инженерии. Также можно рассмотреть случаи, когда кража учетных данных с помощью фишинга может привести к серьезному нарушению безопасности.

Преимущества облаков для бизнеса

Облачные вычисления - это общий термин, используемый для удаленной аренды ряда вычислительных ресурсов. Такой подход избавляет от необходимости запускать физическое оборудование и управлять им на месте, позволяя предприятиям легко и недорого масштабировать свою инфраструктуру.

Облачные вычисления обладают множеством преимуществ: от экономии затрат до повышения производительности и снижения выбросов углекислого газа.

Экономия затрат. Облако для малого бизнеса может значительно снизить затраты, поскольку отпадает требование владения, эксплуатации и обслуживания локальных серверов и инфраструктуры, и предприятия платят провайдерам облачных услуг только за те ресурсы, которые им действительно необходимы.

Безопасность. Провайдеры облачных услуг и операторы центров обработки данных, среди которых на российском рынке особо выделяется ЦОД Xelent, уделяют огромное внимание безопасности во всех предлагаемых ими услугах и решениях. Их меры безопасности будут значительно более совершенными и надежными, чем типичная внутренняя система, которую традиционно использует бизнес. Данные, хранящиеся в ЦОД и перемещающиеся по облачным сетям, зашифрованы, что значительно затрудняет доступ посторонних лиц.

Гибкость. Облачные вычисления повышают гибкость бизнеса и упрощают сотрудничество между людьми в рамках бизнеса, где бы они ни находились. Доступность каждого документа, файла и приложения по запросу в облачной среде устраняет традиционные барьеры, такие как необходимость совместной работы всех в одном централизованном месте.

Масштабируемость. Облако для бизнеса обеспечивают непревзойденную масштабируемость за счет дополнительного места для хранения, вычислительной мощности и виртуальных ресурсов, когда это необходимо бизнесу. Поскольку компании платят только за те ресурсы, которые им действительно нужны, они могут быстро, легко и экономично масштабировать или уменьшать масштаб.

Аварийное восстановление. Компании обращаются к решениям для аварийного восстановления, чтобы предотвратить простои и потери критически важных данных и приложений. Облачные вычисления обеспечивают более простое и экономичное восстановление после сбоев за счет эффективного зеркалирования хранимых данных на разных серверах.

Как происходит миграция сервера в облако

Переход в облако дает множество преимуществ, особенно когда предприятия принимают все меры для успешной миграции в облако. Для большинства предприятий переход обычно означает сокращение эксплуатационных расходов, более быструю модернизацию и повышение безопасности.

Однако перед осуществлением процесса миграции следует ознакомиться с проблемами, которые часто сопровождают миграцию в облако.

Планирование. Для крупномасштабных миграций требуется тщательное планирование в масштабах всей организации. Первым шагом к успешной миграции является разработка стратегии - это достигается путем анализа и идентификации, а также включения ключевых заинтересованных сторон для определения требований, потребностей и целей.

Стоимость - время, деньги и ресурсы. Несмотря на то, что миграция в облако улучшает краткосрочную и долгосрочную рентабельность инвестиций, определение стоимости может быть не только трудным, но и недооцененным. Оценка затрат имеет важное значение, однако важно признать, что стоимость может измениться - не только денежные затраты, но также затраты времени и ресурсов. Когда речь идет о времени или о «простоях бизнеса», требуется тщательное планирование. Хотя перемещение больших объемов данных может быть выполнено относительно быстро, в надежде минимизировать время простоя необходимо разработать конкретную стратегию - в конечном итоге это поможет перемещать более управляемые объемы данных.

Безопасность. При переходе в облако (полностью или частично) важно понимать:

• Как работает облако;
• За что вы несете ответственность;
• Как установить управление безопасностью и сохранить целостность данных.

Другими словами, не предполагайте, что ваш облачный провайдер позаботится о безопасности, даже несмотря на соответствие всем стандартам безопасности, как в случае с крупнейшем дата-центром Xelent. То же самое относится и к соответствию: вы, а не провайдер облачных услуг, всегда несете ответственность за соблюдение GDPR.

В числе проблем, которые необходимо решить заранее для миграции рабочей нагрузки:

• Проблемы взаимодействия с другими облачными и локальными рабочими нагрузками;
• Проблемы с резервным копированием и непрерывностью бизнеса для сокращения или устранения времени простоя;
• Безопасность, особенно для облачных рабочих нагрузок, связанных с другими рабочими нагрузками приложений;
• Влияние на производительность из-за задержки;
• Выбор подходящего облачного провайдера для желаемой функциональности;
• Какую стратегию миграции применять к каждой рабочей нагрузке.

Облако для бизнеса

Облака в бизнесе применяются для хранения и обработки информации. Такие решения пользуются спросом среди малого, среднего и крупного бизнеса. Небольшие организации переносят в облако почтовые сервисы, бухгалтерию, приложения для обмены данными.

Виртуальная инфраструктура IaaS

IaaS – решение, которое позволяет отказаться от использования физического оборудования и значительно сократить расходы компании.

Гибридные облака

Гибридное облако (hybridcloud) – отдельная IT-инфраструктура, представляющая собой объединение виртуального приватного облака (VPC) и выделенных серверов. Использование гибридных решений позволяет компании решить нехватку собственных ресурсов за счет мощностей облачного провайдера.