W ubiegły czwartek opublikowano nową wersję standardu: PCI DSS 2.0 zapewniającego minimalne wymagania bezpieczeństwa konieczne do zachowania podczas przetwarzania danych kartowych (a dokładnie PAN).
Na pierwszy rzut oka większość zmian to wyjaśnienia do niekoniecznie precyzyjnych sformułowań z poprzednich wersji. Wydaje się to krokiem w dobrą stronę - ilość interpretacji była niekiedy zbyt duża.
Na uwagę zasługuje też wymaganie dotyczące klasyfikacji podatności 6.2 (i powiązanym 6.5.6).
Firmy planujące wdrożenie powinny się raczej cieszyć - będzie mniej dyskusji i więcej bezpieczeństwa (nie muszę dodawać, że wyjaśnienia dodają wymagania a nie ich odejmują). Firmy posiadające już PCI DSS powinny za to zrobić dokładny przegląd systemu - może się okazać, że czeka je dodatkowa praca
2 listopada 2010
31 października 2010
bezpiecznedziecko.info
Będę niedługo ruszać z kolejnym projektem (pomysłem) - bezpiecznedziecko.info
Z założenia ma to być miejsce gromadzące informacje pomagające zdrowo i bezpiecznie (acz z podkreśleniem zasad ZDROWEGO ROZSĄDKU) wychować dzieci. Chcesz pomóc? Masz pomysł jak to rozwinąć? Napisz do mnie
Z założenia ma to być miejsce gromadzące informacje pomagające zdrowo i bezpiecznie (acz z podkreśleniem zasad ZDROWEGO ROZSĄDKU) wychować dzieci. Chcesz pomóc? Masz pomysł jak to rozwinąć? Napisz do mnie
30 października 2010
Bezpieczeństwo i Higiena Pracy z kartami płatniczymi
Plastikowe pieniądze są powszechne, pojawiają się udoskonalenia kart płatniczych takie jak mikropłatności czy integracje z innymi usługami realizowanymi przy pomocy kart. Wciąż jednak masa osób nie zdaje sobie sprawy z tego, że bardzo łatwo stracić swoje oszczędności (przynajmniej na jakiś czas) a stosując parę prostych metod można znacznie zredukować prawdopodobieństwo takiego zdarzenia. Poniżej załączam garść najlepszych praktyk
- Zaklej 3 cyfrowy kod znajdujący się na rewersie karty za jej numerem. Jest to tak zwany kod CVV2/CVC2 który, wraz z numerem karty i jej datą ważności pozwala na zakupy przez Internet. Bardzo często przestępca pracujący na przykład w hotelu pod pretekstem sprawdzenia wiarygodności podpisu zapamiętuje te 3 cyfry. Ponieważ ma już numer i datę ważności karty łatwo może w naszym imieniu dokonać zakupów często luksusowych dóbr
- Jak tylko masz taką możliwość uwierzytelniaj transakcję PIN’em a nie podpisem.
- Zawsze zasłaniaj dwoma rękoma wpisywany PIN, niezależnie czy w bankomatach czy urządzeniach POS (w restauracjach, kinach, stacjach benzynowych czy sklepach)
- Zachowaj kopie wszystkich anulowanych transakcji. Pomoże Ci to w przypadku reklamacji
- Nigdy nikomu pod żadnym pozorem nie podawaj PINu. Nie daj się nabrać na informacje, że jest on konieczny do autoryzacji transakcji. Przestępcy często próbują go wyłudzić od nieświadomych tego faktu ofiar. PIN masz znać tylko Ty, i samodzielnie wpisywać go w urządzenie
- Zapisywanie PINu nie jest dobrym pomysłem, a już szczególnie na karcie płatniczej, której dotyczy
- Zapisywanie nieprawdziwego PINu na karcie płatniczej może jednak być dobrym pomysłem. Przestępca może zablokować ukradzioną kartę próbując wpisać nieprawdziwy kod
- Nie noś ze sobą wszystkich kart płatniczych. Duża kolekcja kusi złodziei a jej utrata może odciąć Cię od pieniędzy.
- Gdy sprzedawca niszczy Ci kartę nożyczkami oznacza, że dostał takie polecenie z systemu. Może to oznaczać, że ktoś skopiował Twoja kartę a organizacja płatnicza postanowiła chronić Twoje pieniądze. Bezzwłocznie skontaktuj się z wystawcą karty ale nie wiń sprzedawcy, ostatecznie zrobił to by Cie chronić przed poważniejszymi kłopotami
- Kart płatniczych, identyfikatorów i bielizny osobistej nie pożycza się nawet znajomym
- Przeglądaj regularnie wyciągi z kart. Jak wypatrzysz nieznane transakcje to bezzwłocznie skontaktuj się z wystawcą karty.
- Pamiętaj, że gotówka nie jest passe!
28 października 2010
Duże, niebezpieczne zabawki
Duzi chłopcy lubią duże zabawki, tyle, że jak pokazują ostatnie newsy nie zawsze potrafią się nimi bawić.
W ostatnich dniach pojawiły się dwie dość zaskakujące informacje o arsenale nuklearnym USA. najpierw wyszło na jaw, że za czasów prezydentury B.Clintona na kilka miesięcy zgubiono kody nuklearne, teraz okazało się, że w wyniku awarii sieci utracono na 45 nadzór nad 50 głowicami atomowymi. Jako pocieszenie autor artykułu zaznacza, że (tym razem) był to raczej błąd człowieka niż atak. Co za ulga.
W ostatnich dniach pojawiły się dwie dość zaskakujące informacje o arsenale nuklearnym USA. najpierw wyszło na jaw, że za czasów prezydentury B.Clintona na kilka miesięcy zgubiono kody nuklearne, teraz okazało się, że w wyniku awarii sieci utracono na 45 nadzór nad 50 głowicami atomowymi. Jako pocieszenie autor artykułu zaznacza, że (tym razem) był to raczej błąd człowieka niż atak. Co za ulga.
27 października 2010
Znam twoje finanse
Wyborcza opublikowała dobry artykuł dotyczący dostępu do ksiąg wieczystych - temat ten zresztą poruszał Wojciech Wiewiórowski podczas niedawnej konferencji.
O co chodzi? W internecie są udostępnione księgi wieczyste. Na pierwszy rzut oka nie jest to nic strasznego, jednak dzięki informacjom zawartym w tych dokumentach można wnioskować o stanie posiadania, a nawet preferencjach seksualnych praktycznie dowolnych obywateli. Wszystko oczywiście online i za darmo - rzadki przejaw pełnej informatyzacji, niestety w tym wypadku zbyt pełnej.
Ministerstwo Sprawiedliwości broni się twierdząc, że księgi wieczyste w tej postaci i tak są od lat dostępne. Jednak jak słusznie zauważył nasz GIODO problem polegał na tym, ze kiedyś trzeba się było wybrać do sądu, wiedzieć czego się szuka. Teraz, w wolnych chwilach przez sieć można mieć komplet informacji od ręki i mozolnie polować na interesujący nas cel.
Ministerstwo się broni, GIODO protestuje, a ja się zastanawiam, kiedy informacje będą udostępniane na zasadzie "need-to-know" - szczególnie w kwestii zakresu udostępnianych danych
O co chodzi? W internecie są udostępnione księgi wieczyste. Na pierwszy rzut oka nie jest to nic strasznego, jednak dzięki informacjom zawartym w tych dokumentach można wnioskować o stanie posiadania, a nawet preferencjach seksualnych praktycznie dowolnych obywateli. Wszystko oczywiście online i za darmo - rzadki przejaw pełnej informatyzacji, niestety w tym wypadku zbyt pełnej.
Ministerstwo Sprawiedliwości broni się twierdząc, że księgi wieczyste w tej postaci i tak są od lat dostępne. Jednak jak słusznie zauważył nasz GIODO problem polegał na tym, ze kiedyś trzeba się było wybrać do sądu, wiedzieć czego się szuka. Teraz, w wolnych chwilach przez sieć można mieć komplet informacji od ręki i mozolnie polować na interesujący nas cel.
Ministerstwo się broni, GIODO protestuje, a ja się zastanawiam, kiedy informacje będą udostępniane na zasadzie "need-to-know" - szczególnie w kwestii zakresu udostępnianych danych
26 października 2010
Niebezpieczne BlackBerry
Ciekawostka ma już co prawda kilku dni, ale warto ją odnotować.
Po raz kolejny okazało się, że polscy specjaliści od bezpieczeństwa dorównują (jeżeli nie przewyższają) umiejętnościami swoim zagranicznym kolegom.
Gdy przez świat przebiega dyskusja na temat zbyt dobrych zabezpieczeń oferowanych przez BlackBerry, zabezpieczeń, których nie potrafią złamać siły specjalne różnych Państw w ramach prowadzonych śledztw, prawie bez echa przeszła informacja, że Ministerstwo Finansów jest kilka kroków przed nimi. W ubiegłym tygodniu opublikowano informacje, że zabronione jest korzystanie z tych urządzeń przez pracowników ministerstwa. Podstawą do tej decyzji był fakt, że "urządzenia te nie gwarantują odpowiedniego poziomu zabezpieczeń - wyjaśnia Maria Hiż z biura prasowego Ministerstwa Finansów".
Polak potrafi... A jak :-)
Po raz kolejny okazało się, że polscy specjaliści od bezpieczeństwa dorównują (jeżeli nie przewyższają) umiejętnościami swoim zagranicznym kolegom.
Gdy przez świat przebiega dyskusja na temat zbyt dobrych zabezpieczeń oferowanych przez BlackBerry, zabezpieczeń, których nie potrafią złamać siły specjalne różnych Państw w ramach prowadzonych śledztw, prawie bez echa przeszła informacja, że Ministerstwo Finansów jest kilka kroków przed nimi. W ubiegłym tygodniu opublikowano informacje, że zabronione jest korzystanie z tych urządzeń przez pracowników ministerstwa. Podstawą do tej decyzji był fakt, że "urządzenia te nie gwarantują odpowiedniego poziomu zabezpieczeń - wyjaśnia Maria Hiż z biura prasowego Ministerstwa Finansów".
Polak potrafi... A jak :-)
Subskrybuj:
Posty (Atom)