Новини: Google Wallet, прогнози Gartner на 2012 рік та SSL сертифікати

20:23 24.12.2011

За повідомленням www.xakep.ru, Google Wallet зберігає деяку інформацію про платіжні карти у відкритому вигляді.

Значна кількість незашифрованих даних ставить телефони з Android у ризиковане становище, говорять дослідники. Самий довгоочікуваний мобільний платіжний додаток від Google для розрахунків у місцевих магазинах зберігає деяку секретну інформацію про користувачів у нешифрованому вигляді, наприклад, імена користувачів, дати транзакцій, адреси електронної пошти, а також залишок на рахунку покупців, говориться в дослідженні viaForensics.

За повідомленням www.xakep.ru, Gartner: основні тенденції інформаційної безпеки і безпечного здійснення покупок на 2012 рік.

Стандарт безпеки даних індустрії платіжних карт (PCI DSS) - животрепетна тема, але недавнє дослідження, проведене компанією Gartner показало, що 18% респондентів зізналися в тому, що вони не PCI DSS-сумісні, хоча в дослідженні малося на увазі, що вони повинні були відповідати цим стандартам.

Gartner провів ряд досліджень у період з червня по вересень цього року на щорічному IT-самміті Gartner по інформаційній безпеці, заходах Catalyst у Північній Америці і на їхньому власному самміті по безпеці і ризикам у EMEA. Опитування 383 IT-менеджерів виявило тренди в поводженні при здійсненні покупок і дозволило спрогнозувати майбутні витрати на забезпечення безпеки.

Це ще малий відсоток несумісних з PCI DSS компаній у Gartner, тому що досліджували вони лише західні компанії. Моє дослідження компаній (як українських, так і деяких інших), що мають сайти які повинні відповідати PCI DSS, показало, що мало хто з них відповідає цьому стандарту (і про такі діряві сайти я вже писав неодноразово). А також доводилося знаходити уразливості на сайтах, які пройшли PCI DSS аудит і мають відповідний сертифікат.

За повідомленням www.xakep.ru, вимоги безпеки націлені на зміцнення розбитої системи SSL: занадто мало, занадто пізно.

Консорціум компаній опублікував набір практик здійснення безпеки, який, вони сподіваються, будуть застосовувати всі центри аутентифікації, щоб браузери й інше ПЗ довіряло їх сертифікатам SSL. Базові вимоги, опубліковані Certification Authority/Browser Forum, розроблені для того, щоб запобігти порушенню безпеки в заплутаній мережі довіри, що формує підтримку системи SSL сертифікатів.

Випуск цих правил відбувся після багатьох років поганого керування з боку індивідуальних центрів сертифікації, яким дозволено випускати сертифікати, яким довіряють браузери. Це вимушений крок, після багатьох випадків компрометації видавців сертифікатів - лише в цьому році, як я писав, були взломані чотири видавця SSL сертифікатів: Comodo, DigiNotar, Digicert Sdn. Bhd та Gemnet.


Leave a Reply

You must be logged in to post a comment.