International remittance solution with WorldPay as a payment provider and PCI-DSS challenges
Проект Remittance – это международный сервис для удобного, безопасного и мгновенного перевода денежных средств. Основным направление деятельности компании является сектор переводов средства в страны Африки с помощью кроссплатформенного Web и Flutter решения.
Индустрия
ФИНАНСОВЫЕ ТЕХНОЛОГИИ
Команда
16 людей
Время разработки
7+ лет (в процессе разработки)
О проекте
Проект Remittance – это международный сервис для удобного, безопасного и мгновенного перевода денежных средств. Основным направление деятельности компании является сектор переводов средства в страны Африки с помощью кроссплатформенного Web и Flutter решения.
Задачи
Перед командой New Line Technologies стояла важная задача – создать продукт, который соответствовал бы всем требованиям Payment Card Industry Data Security Standard (PCI-DSS) для защиты платежных данных на протяжении всего жизненного цикла платежа:
- Наличие подписанных матриц ответственности между сервис-провайдерами, а именно между процессинговым центром и датацентром, а также банками-эквайерами;
- Наличие у датацентра актуального сертификата соответствия PCI-DSS на компоненты инфраструктуры, которые использует в работе процессинговый центр — виртуализация, сервисы, физическое оборудование и так далее;
- Актуальный статус PCI-DSS, который ставится в прямую зависимость от частоты изменений программного обеспечения, конфигураций оборудования или/и виртуальных машин и от известных уязвимостей, таких как HeartBleed;
- Требовалось регулярно проводить аудит системы на предмет поиска внутренних/внешних уязвимостей и приводить компоненты инфраструктуры в соответствие стандартам безопасности индустрии.
Целью было пройти PCI Vulnerability Scan (Сканирование на уязвимости), поскольку эта процедура является одним из лучших методов обнаружения потенциальных уязвимостей, которые могут быть использованы злоумышленниками. Внутренние сканеры уязвимостей ищут сетевые уязвимости внутри сети организации.
Решения
В рамках задачи по интеграции с платежным сервисом WorldPay и реализации оплат с помощью карт был пройден этап сканирования инфраструктуры и отдельных компонентов на наличие уязвимостей и соответствия требованиям PCI-DSS.
PCI-DSS касается не только сканирования сетевых компонентов и серверов для поиска уязвимостей, но и исправления и изменения процессов для предотвращения будущих уязвимостей. После выявления слабых мест команда New Line Technologies вносила изменения. Часть обнаруженных проблем была решена настройкой инфраструктуры, часть изменениями на стороне API.
Проект прошел проверку PCI Scan Vulnerability по следующему списку:
- Полное сканирование TCP портов
- Стандартное сканирование UDP портов
- Тестирование методом Password Brute Forcing
- Общая проверка на уязвимости системы, такие как брандмауэры, FTP серверы, веб-серверы, операционная система и CGI-bins.
Пройденные этапы сканирования доказывают, что проект защищен от злоумышленников, которые могут собирать информацию о хосте (открытые порты, службы и т.д.) и получать конфиденциальную информацию, такую как версия программного обеспечения, настройки безопасности устройства, пароли и прочее.
Результаты
Проект Remittance успешно прошел сложную, многоуровневую проверку в соответствии с требованиями PCI-DSS, сертифицирован, и используется для обработки платежей online с помощью платежных карт.
ОСТАВАЙТЕСЬ НА СВЯЗИ
Спасибо за Ваш интерес. Мы свяжемся с Вами в ближайшее время.