Что конкретно взломали: сайт или процессинг, не буду давать комментарии, потому что блогосфера жужжит по полной и определить, где правда или черный пиар уже сложно. Но добавлю свои "пять копеек" из интересующей меня области информационной безопасности.
ЗАО "Хронопэй" сертифицирована по PCI DSS, а это не "филькина грамота", которую можно купить за дешево. Для сертификации нужно не только официально заплатить несколько миллионов рублей, но и пройти в несколько этапов проверку бизнес-процессов, документации и тестов, один из которых - это "проникновение злоумышленника". Обращаю внимание, тест на проникновение - это когда из вне пытаются попасть через контролируемую зону.
И кому-то удалось пройти через контролируемую зону ЗАО "Хронопэй", а это значит облажалась не только Хронопэй, но и организация проводившая сертификацию. Аккредитацию PCI DSS имеют в России всего семь организации, какая из них проводила сертификацию Хронопэй, мне не известно. Хотя для PCI DSS важен сам факт утечки, не её степень последствий и объем урона, значит вскоре начнется процесс расследования аккредитованной организации.
Зная кто-такой Павел Рублевский (владелец Хронопэй) и его прошлые методы работы с парнерами, то можно предположить, что процесс сертификации проходил в ускоренном темпе за счет дополнительного, хорошего денежного вливания.
Update 02/01/2011
Сертификацию Хронопэй проводила немецкая компания Security Research & Consulting GmbH, по информации от rauf.
2 коммент.:
Тест на проникновение не дает 100% гарантий, поэтому вероятность взлома, даже совсем извне, всегда остается.
Да, гарантий нет, но при соблюдение PDCA риски можно постоянно держать близким к нулю.
А многие получившие сертификацию по PCI DSS, в дальнейшим забывают соблюдать полностью требования до следующего периода.
Отправить комментарий