Visa разрешит операторам карточных терминалов не проверяться на соответствие PCI DSS

Visa разрешит операторам карточных терминалов не проверяться на PCI DSS

Всякая компания, работающая в сфере услуг и принимающая к оплате банковские карты Visa, должна каждый год проходить проверку на соответствие требованиям стандарта PCI DSS. Вернее, так было раньше; теперь же торговцев могут избавить от этой обязанности.

Впрочем, послабления будут сделаны не просто так: рассчитывать на льготу смогут не все американские организации, а только те из них, которые согласятся установить карточные терминалы с поддержкой процессинговых технологий EMV и NFC. Первая служит основанием для производства банковских карт с чипом (в противовес магнитной полосе), а вторая обеспечивает бесконтактную оплату для владельцев мобильных устройств. В свою очередь, те, кто сохранит верность прежнему формату карт и не станет менять терминалы, будут, как и прежде, ежегодно проходить аудит.

Вся эта история связана с тем, что в настоящее время на территории США имеют гораздо более активное хождение именно банковские карты с магнитной полосой, которые считаются менее защищенными, нежели аналогичные изделия с чипом. EMV-карты, напротив, более популярны в Европе, нежели в Соединенных Штатах; руководство Visa убеждено, что "пластиковые кошельки", изготовленные по этой технологии, должны получить в США более широкое распространение. Чтобы простимулировать выпуск, использование и обработку таких карт (равно как и интенсифицировать применение на практике беспроводной платежной технологии NFC), компания и придумала свою "промо-акцию" с освобождением от PCI DSS.

Вероятнее всего, крупные сервисы и торговые сети с интересом отнесутся к предложению Visa. Каждый год подтверждать соответствие информационных систем требованиям вышеупомянутого стандарта - не такое уж простое дело: Ponemon Institute в прошлом году посчитала затраты компаний на этот аудит и обнаружила, что в среднем бизнесу приходится тратить на соответствующие процедуры до 225 тыс. долларов. Для 10% участвовавших в том исследовании организаций итоговая цена проверки достигала даже 500 тыс. долларов. Можно с уверенностью сказать, что предприниматели будут только рады снять с себя подобное бремя; впрочем, не стоит забывать и о затратах на переоборудование торговых точек новыми терминалами, которые неизбежно понесут многие желающие избавиться от PCI DSS.

Тем не менее, ряд экспертов и аналитиков поддерживает решение Visa; по их мнению, Соединенные Штаты давно нуждались в подобном стимуле, и теперь распространению EMV и развитию NFC будет дан новый мощный импульс. Если защищенность денежных средств пользователей и проводимых ими транзакций от этого возрастет, то с отказом от регулярного аудита, пожалуй, можно будет и смириться.

Computerworld

Письмо автору

Apple: экс-сотрудник использовал редкий баг для передачи данных OpenAI

Apple подала в суд на OpenAI, обвинив корпорацию в краже коммерческой тайны. Купертиновцы подозревают бывшего инженера Apple Чанга Лю, который после перехода в OpenAI якобы продолжал заходить во внутреннюю сеть прежнего работодателя и скачивал данные о ещё не выпущенных продуктах.

По версии Apple, Лю обнаружил редкую и ранее неизвестную ошибку аутентификации. Уязвимость позволяла ему получать доступ к корпоративному хранилищу уже после увольнения.

Apple утверждает, что за несколько недель Лю забрал десятки файлов с инженерными презентациями, техническими характеристиками и данными по закрытым проектам. Техногигант проверил серверные журналы и заявил, что дыру теоретически могли использовать ещё несколько человек, но следы эксплуатации нашли только у Лю.

Отдельный штрих — бывший сотрудник якобы не вернул рабочий ноутбук Apple и даже воспользовался компьютером знакомой, которая тогда ещё работала в корпорации, а позже тоже перешла в OpenAI.

В переписке Лю, как утверждается в иске, отреагировал на сохранившийся доступ фразой:

«LOL, я выяснил, что всё ещё могу зайти в хранилище, очень смешно».

Apple уже закрыла уязвимость и отключила доступ. Но вопрос остался неприятный: как человек после увольнения неделями мог ходить по внутренней сети компании, которая продаёт безопасность как часть своего бренда?

OpenAI ранее заявляла, что не заинтересована в чужих коммерческих тайнах. Теперь разбираться, кто что знал и кто что скачивал, будет суд присяжных в Калифорнии.

RSS: Новости на портале Anti-Malware.ru