Мобильное приложение журнала
Google Play Apple Store
курс цб на 24.06: USD 63.1295 EUR 71.349
криптовалют: BTC 10814.1$ ETH 305.96$
Журнал ПЛАС » Новости » Платежный бизнес 282 просмотра

Жизненный цикл безопасной разработки платежных приложений

Обучающий семинар PCI DSS

При проведении аудитов платежных инфраструктур неоднократно замечаем, что жизненный цикл безопасной разработки платежных приложений в организации либо налажен некорректно, либо отсутствует вовсе. Отсутствие правильно налаженного цикла сказывается и на результате тестирования на проникновения: наши специалисты выявляют значительное количество уязвимостей различных уровней критичности. В большинстве случаев эксплуатация совокупности найденных уязвимостей позволяет полностью скомпрометировать инфраструктуру.

При разработке приложений следует не забывать о разделении обязанностей работников. Конфликт в разделении обязанностей зачастую может сказаться на результате работы.

А ведь принцип разделения обязанностей достаточно прост – работник не должен контролировать выполнение деятельности, которую совершает он сам. Например, разработчик не должен тестировать и анализировать код, который он написал. Утверждать переход приложения на следующую стадию жизненного цикла должен руководитель проекта, а ни в коем случае не разработчик.

Еще раз обозначим стадии жизненного цикла разработки платежного приложения с небольшими уточнениями с точки зрения безопасности:

Стадия 1: разработка требований к приложению (в том числе и к безопасному функционированию)

Стадия 2: проектирование архитектуры приложения (анализ архитектуры приложения и выявление слабых с точки зрения безопасности мест)

Стадия 3: разработка кода приложения (использование безопасных функций, разработка безопасного функционала)

Стадия 4: тестирование приложения (ручной или автоматизированный анализ кода, использование сканеров на уязвимости, тестирование на проникновение, использование тестовой среды и тестовых данных)

Стадия 5: перевод приложения в боевую среду (удаление тестовых данных, ограничение доступа к служебным данным, например, к git-директории)

Стадия 6: поддержка приложения (соблюдение цикла безопасной разработки при доработке функционала)

Цикл
Не стоит забывать и о стадии вывода приложения из эксплуатации, при которой все критичные данные должны быть удалены из производственной среды гарантированным способом.

Подробнее с принципами безопасной разработки можно ознакомится в руководствах OWASP, SANS CWE, CERT Secure Coding, также рекомендуем обратиться к стандартам PA-DSS, к разделу 6 стандарта PCI DSS и к документу РС БР ИББС-2.6-2014 «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем».

0

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных