International remittance solution with WorldPay as a payment provider and PCI-DSS challenges
Проєкт Remittance – це міжнародний сервіс для зручного, безпечного та миттєвого переказу коштів. Основним напрямом діяльності компанії є сектор переказів коштів в країни Африки за допомогою кросплатформового Web та Flutter рішення.
Індустрія
ФІНАНСОВІ ТЕХНОЛОГІЇ
Команда
16 людей
Час розробки
7+ років (в процесі розробки)
Про проєкт
Проєкт Remittance – це міжнародний сервіс для зручного, безпечного та миттєвого переказу коштів. Основним напрямом діяльності компанії є сектор переказів коштів в країни Африки за допомогою кросплатформового Web та Flutter рішення.
Завдання
Перед командою New Line Technologies стояло важливе завдання – створити продукт, який би відповідав усім вимогам Payment Card Industry Data Security Standard (PCI-DSS) для захисту платіжних даних протягом усього життєвого циклу платежу:
- Наявність підписаних матриць відповідальності між сервіс-провайдерами, а саме між процесинговим центром та датацентром, а також банками-еквайєрами;
- Наявність у датацентру актуального сертифіката відповідності PCI-DSS на компоненти інфраструктури, які використовує процесинговий центр — віртуалізація, сервіси, фізичне обладнання тощо;
- Актуальний статус PCI-DSS, який ставиться в пряму залежність від частоти змін програмного забезпечення, конфігурацій обладнання або віртуальних машин і від відомих уразливостей, таких як HeartBleed;
- Потрібно регулярно проводити аудит системи щодо пошуку внутрішніх/зовнішніх вразливостей і приводити компоненти інфраструктури у відповідність стандартам безпеки індустрії.
Метою було пройти PCI Vulnerability Scan (Сканування на вразливості), оскільки ця процедура є одним із найкращих методів виявлення потенційних уразливостей, які можуть бути використані зловмисниками. Внутрішні сканери вразливостей шукають вразливості мережі всередині мережі організації.
Рішення
В рамках завдання з інтеграції з платіжним сервісом WorldPay та реалізації оплат за допомогою карток було пройдено етап сканування інфраструктури та окремих компонентів на наявність уразливостей та відповідності вимогам PCI-DSS.
PCI-DSS стосується не тільки сканування мережевих компонентів та серверів для пошуку вразливостей, але й виправлення та зміни процесів для запобігання майбутніх уразливостей. Після виявлення слабких місць команда New Line Technologies вносила зміни. Частина виявлених проблем була вирішена налаштуванням інфраструктури, частина змінами на стороні API.
Проєкт пройшов перевірку PCI Scan Vulnerability за таким списком:
- Повне сканування TCP портів
- Стандартне сканування UDP портів
- Тестування методом Password Brute Forcing
- Загальна перевірка на вразливість системи, такі як брандмауери, FTP сервери, веб-сервери, операційна система та CGI-bins.
Пройдені етапи сканування доводять, що проєкт захищений від зловмисників, які можуть збирати інформацію про хост (відкриті порти, служби тощо) та отримувати конфіденційну інформацію, таку як версія програмного забезпечення, налаштування безпеки пристрою, паролі та інше.
Результати
Проєкт Remittance успішно пройшов складну, багаторівневу перевірку відповідно до вимог PCI-DSS, сертифікований, та використовується для обробки платежів online за допомогою платіжних карток.
ЗАЛИШАЙТЕСЯ НА ЗВ’ЯЗКУ
Дякуємо за Ваш інтерес. Ми зв’яжемося з Вами найближчим часом.