Относно проекта

Проектът Remittance е международна услуга за удобни, сигурни и незабавни парични преводи. Основната дейност на компанията е сектора на паричните преводи към африканските страни, използвайки кросплатформени решения Web и Flutter.

Задачи

Екипът на New Line Technologies имаше важна задача – да създаде продукт, който да отговаря на всички изисквания на Payment Card Industry Data Security Standard (PCI-DSS) за защита на данните за плащане през целия жизнен цикъл на плащане:

• Наличие на подписани матрици за отговорност между доставчици на услуги, а именно между центъра за обработка и центъра за данни,  и акцептиращи банки;
• Центърът за данни да притежава актуален PCI-DSS сертификат за съответствие на инфраструктурните компоненти, които обработващият център използва в работата си – виртуализация, услуги, физическо оборудване и др.;
• Текущо състояние на PCI-DSS, което е пряко зависимо от честотата на промени в софтуера, конфигурации на хардуера и/или виртуална машина и известни уязвимости като HeartBleed;
• Беше необходимо редовно да се извършва одит на системата, за да се търсят вътрешни/външни уязвимости и да се приведат инфраструктурните компоненти в съответствие с индустриалните стандарти за сигурност.

Целта беше да се извърши сканиране на PCI уязвимости, тъй като тази процедура е един от най-добрите методи за откриване на потенциални уязвимости, които могат да бъдат използвани от хакери. Скенерите за вътрешна уязвимост търсят мрежови уязвимости в мрежата на организация.

Решения

Като част от задачата за интегриране с платежна услуга WorldPay и внедряване на плащания с карти беше завършен етапът на сканиране на инфраструктура и отделните компоненти за уязвимости и съответствие с изискванията на PCI-DSS.

PCI-DSS не е само за сканиране на мрежови компоненти и сървъри за уязвимости, но и за корекции и промяна на процеси за предотвратяване на бъдещи уязвимости. След като идентифицира слабостите, екипът на New Line Technologies направи промени. Някои от откритите проблеми бяха решени чрез настройка на инфраструктура, а някои чрез промени от страна на API.

Проектът е преминал проверка за уязвимост на PCI сканиране спрямо следния списък:

• Пълно сканиране на TCP порт
• Стандартно сканиране на UDP портове
• Тестване за грубо форсиране на парола
• Обща проверка за системни уязвимости като защитни стени, FTP сървъри, уеб сървъри, операционна система и CGI-bins.

Завършените етапи на сканиране доказват, че проектът е защитен от хакери, които могат да събират информация за хоста (отворени портове, услуги и т.н.) и да получат поверителна информация като версия на софтуера, настройки за сигурност на устройството, пароли и т.н.

Резултати

Проектът Remittance успешно премина сложна многостепенна проверка в съответствие с изискванията на PCI-DSS, сертифициран е и се използва за обработка на онлайн плащания с платежни карти.