Messages posted by: punkrock

hihi. hôm nay mới hack đc forum BB công ty mình nhờ cái sql injection này smilie

. hacking thật là thú vị.

Hehe, MB là đối tác bên mình nên mình biết thôi. Bên mình cũng mới tìm hiểu và áp dụng chuẩn PCI-DSS. Nếu được, mong được học hỏi thêm nhiều từ bạn smilie

Theo bên Trustwave.com có nói với mình là:
"pay.soha.vn has enrolled our program. OnePay is our partner in Vietnam."

Thấy ngân hàng MB dùng service của bọn Controlcase. Chắc là phải có uy tín thì họ mới dùng smilie

nó lớn thì mình xây dựng dần, ai am hiểu lĩnh vực nào, nhánh nào thì tư vấn, bàn luận về lĩnh vực đó. xong rồi tổng hợp lại, mình sẽ được 1 vấn đề lớn. Những gì phức tạp, mình chia nhỏ để giải quyết smilie

Mọi ý kiến đều welcome, mình nghĩ vậy smilie

Có phải vì em viết nhiều chữ quá không nhỉ smilie

Hay là do chủ để + nội dung nhàm chán smilie

Hi các bác,
Em mở topic này để các bác ai có kinh nghiệm thì tham gia thảo luận về các giải pháp bảo mật cho 1 cổng thanh toán điện tử.
Như chúng ta đã biết thì bảo mật chính là vấn đề khó khăn nhất khi một doanh nghiệp tham gia vào thương mại điện tử, mà nhất là thanh toán điện tử liên quan đến tiền nong. Hiện nay việc hack tài khoản, thông tin cá nhân trên mạng khá dễ dàng. Người dùng thì luôn muốn sử dụng dịch vụ thuận tiện, nhanh gọn, nhưng nhà cung cấp dịch vụ thì có trách nhiệm bảo vệ người dùng nên luôn phải áp dụng các giải pháp bảo mật, chính sách bảo mật loàng ngoằng dẫn đến việc khó sử dụng dịch vụ với những người dùng không thông thạo IT. Em muốn mọi người thảo luận xem đâu là giải pháp toàn diện nhất và áp dụng cho những ai muốn tham gia thương mại điện tử mà cụ thể là cổng thanh toán đem lại sự tiện lợi cho mọi người.
Em xin mở màn với những hiểu biết nho nhỏ của em.
1. Áp dụng chuẩn
Em nghĩ trước khi mình nghĩ ra điều gì đó hay ho, thì mình cứ áp dụng chuẩn quốc tế trước smilie

. Chuẩn mà em nghĩ nên theo ở đây là PCI-DSS (https://www.pcisecuritystandards.org/security_standards/index.php) bởi vì mục tiêu của em là xây dựng cổng thanh toán, nó sẽ xử lý thông tin thẻ, thông tin ngân hàng nhạy cảm. Việc đạt theo chuẩn này không nhất thiết là mình cần 1 bên thứ 3 chứng nhận vì thực chất mình có thể tự verify bằng cách Self-Assessment Questionnaire.
Việc áp dụng chuẩn của em có thể nói chi tiết như sau:

1.1. Sử dụng Firewall để bảo vệ dữ liệu khỏi việc truy cập bất hợp pháp
Chúng ta cần làm giảm các rủi ro cũng như nguy hại tiềm tàng bằng cách bảo vệ hệ thống và mạng của chúng ta khỏi các vụ tấn công cố ý nhằm khai thác các lỗ hổng bảo mật. Firewall là lựa chọn ưu tiên đầu tiên vì nó sẽ như là một bộ lọc các gói tin không mong muốn từ bên ngoài đi vào mạng nội bộ và ngược lại, cách ly vùng nhậy cảm với những vùng khác trong nội bộ.

1.2. Sử dụng mã hóa đối xứng, mã hóa bất đối xứng khi trao đổi dữ liệu với đối tác hay truyền tải ra ngoài mạng.
Bất kì khi nào trao đổi dữ liệu ra ngoài mạng (Internet, Wifi, GSM, GPRS, 3G), chúng ta đều cần phải sử dụng các giải thuật mã hóa và giao thức bảo mật thật mạnh ví dụ như SSL/TLS, và IPSec, VPN để bảo vệ các thông tin nhạy cảm.

1.3. Việc lưu trữ các thông tin nhạy cảm của khách hàng vào DB, file... phải được mã hóa khóa bí mật.
- File- or folder-level encryption
- Full disk encryption
- Database (column-level) encryption

1.4. Sử dụng các giải pháp bằng vật lý kết hợp phần mềm (HSM, chương trình diệt virus...) để nâng cao tình bảo mật.
HSM: thiết bị mã hóa bằng phần cứng, có thể lưu trữ key một cách an toàn, ngoài ra còn có khả năng mã hóa và giải mã rất nhanh.
Chương trình diệt virus sẽ giúp hệ thống an toàn bởi sự rình rập của trojan, virus, spyware có thể phá hủy hoặc ăn trộm thông tin cá nhân.

1.5. Đưa ra các chính sách bảo mật (hạn chế truy cập, gắn ID cho mỗi thành viên có quyền truy cập...).
Access control: áp dụng nguyên tắc need-to-know, authentication-authorization-audit (xác định cá nhân là ai – quyền làm gì – đã làm gì).
Gắn Id riêng cho mỗi thành viên khi truy cập vào hệ thống.
Nắm và thay hết các default config của hệ thống và của các ứng dụng thứ 3.
Hủy các cổng, giao thức, service không cần thiết.

1.6. Lưu lại một số thông tin khách hàng nhằm mục đích bảo vệ và chăm sóc khách hàng
Lưu Ip truy nhập, nếu khách hàng truy nhập từ Ip khác, có cảnh báo.

1.7. Luôn lưu log và giám sát toàn bộ các tiến trình hệ thống, các thao tác truy cập tài nguyên, dữ liệu nhạy cảm.
Chú ý đến các nguồn có thể sinh ra log để có thể xác định log một cách chính xác khi có sự cố xả ra.
Đưa ra các cảnh báo run-time khi gặp lỗi, sự cố (SMS, call,...).
Có xuất báo cáo hằng ngày, hàng tuần về hoạt động của hệ thống.

2. Các chính sách bảo mật:
Sử dụng giải pháp bảo mật 2-factor để xác thực người dùng, tránh giả mạo
Sử dụng token cứng, OTP qua SMS hoặc IVR, như vậy dù người dùng có bị mất thẻ hay thông tin thẻ thì vẫn còn 1 factor nữa để xác thực vd như token cứng, số điện thoại...

Em mới đưa ra được chừng này, các bác xem có nhiều lỗ hổng không smilie

Mong mọi người góp ý bổ sung. Em nghĩ, cần phải thêm nhiều penetration test nữa mới biết hệ thống mạnh ra sao smilie

hic, em đã liên lạc với onepay, mà nó không hỗ trợ j cả, chỉ vì em làm cho viettel T__T. bác nào làm bảo mật cho CTT rồi giúp em về giải pháp với ạ smilie

Mình mới chỉ email đến các địa chỉ support với tư cách cá nhân, nhưng chắc phải với tư cách merchant đi mua service của họ thì họ mới niềm nở tiếp đón smilie

Xin chào các bro,
Em đang tìm hiểu về giải pháp bảo mật trong TMDT. Cụ thể là em đang tìm hiểu về PCI-DSS và 3-D Secure. PCI-DSS thì em biết nó là cái gì rồi, còn 3-D Secure thì em chưa rõ lắm.
3-D Secure là một chương trình của Visa (VbV) hay MasterCard (MastercardSecureCode), như vậy nếu em muốn có logo Verified by Visa thì em phải tích hợp chương trình của Visa vào, nhưng nó là chương trình thế nào đấy ạ? smilie

kiểu code ah? hay là em chỉ cần đăng kí j j đó với bọn Visa? hay là Accquirer Bank mà em liên kết?
Rõ ràng nếu Payment Gateway của em xử lý, lưu trữ thông tin credit card thì em mới cần PCI-DSS compliance, vậy tức là nếu em muốn kết nối đến Visa, Master thì em phải đưa ra giấy chứng nhận PCI-DSS của em ah? hay là đưa ra cho Accquirer bank nội địa issued credit card? Cái này em cũng chưa rõ.
@vikjava: mình cũng thử liên lạc với Onepay.vn hỏi xem tư vấn triển khai PCI-DSS như thế nào, mà không thấy họ trả lời j cả smilie

. Bro có thông tin gì chia sẻ với mình phát smilie

. (qua tìm hiểu, em được biết Onepay là partner của Trustwave.com, một trong các SQA PCI compliance khá nối tiếng, vậy tức là OnePay nó cũng có thể cấp chứng nhận PCI-DSS cho các đơn vị ở VN mình đc ạ?)
Thanks!