Compliance ума не прибавляет!

Compliance ума не прибавляет!
По поводу социальной сети «ВКонтакте» в июле появилось 2 новости:
Первая новость весьма похвальна. Закон о Национальной платежной системе только что принят, вот и первое заявление во имя его исполнения. То есть не будет еще одних «ХренMoney».
По второй новости есть сомнения...
Процесс подтверждения действия банковской карты это сбор как персональных, так и карточных данных: ФИО, телефон, e-mail, паспорт, номер карты, CVC2-код, срок действия, тип, банк-эмитент.
Казалось бы, полученный сертификат PCIDSSдолжен вызывать доверие, как минимум, к уровню зрелости компании в части ИБ. То есть должны быть грамотные специалисты и так далее. Что же мы видим при ближайшем рассмотрении?
Если вы забыли пароль и хотите восстановить свой accountвы должны подтвердить свои учетные данные. Ввести не просто учетные данные – подавай им самые настоящие персональные данные. Конечно же, без подписания согласия на обработку. Смотрите, screenshotтого, что и как они просят:
 
А вот чуть ниже, что тоже неплохо:
А вот что будет, если изображения им не понравятся:
 
Так что, только благодаря этому казусу,  пользоваться их связкой с Русским Стандартом, который является экваером и работает за 1.9% от суммы транзакций, я бы поостерегся.



Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Евгений Шауро

Блог специалиста по информационной безопасности