Ние също трябва да се говори за крайна точка и безопасността. Тъй като това е елемент от системата за плащане, разбира се, да му се изисква. В идеалния случай, ако банката може да се провери тяхното изпълнение, но на практика това е изключително трудно, следователно, на задължителен принцип:
- банката трябва да направи препоръки за потребители на услугата "онлайн пазаруване-а"
- за предпочитане наличието на каквито и да било услуги от страна на банките, където те биха могли да проверят съответствието (не непременно онлайн-ovyh)
- Тя трябва да бъде ясно определена отговорност на клиента в тази услуга: клиентът трябва да носи отговорност само за пълно съответствие, но не и за цялата услуга.
Да, аз съм бил за написването на "банка". "Bank". Фактът, че 3DS - тя просто рамка, конкретното прилагане на схема за удостоверяване - за банката, така че колко добър (за да бъдат безопасни), схемата е напълно зависими от банката. Да, има "глупаци", благодарение на което има всички тези псевдо-научни статии и "научни изследвания", но също така са доста приличен себе си.
Сигурен съм, че за възстановяване на реда в 3DS, Visa е да се освободи редица изисквания към изпълнението на 3DS, тъй като тя е направена, като PCI DSS.
"Информирано съгласие и парола избор" The P 2.3 гласи, че: Потребителят се концентрира върху придобиването на стоки (активирането сценарий по време на пазаруване (ADS)) ще избере слаба парола. Otseviden контрол: банката не трябва да приема прости пароли и дори прилагането на политики: сложността, дължина, периодична смяна, самозадържане при неправилно въвеждане.
P 2.4 "изместване отговорност" е посветена на факта, че банката е "тихо" да поеме цялата отговорност за компрометиране на клиента. Също така е необходимо razrulit Визе (както споменах по-горе): потребителят може (и трябва!) Следвайте само ясно посочено TR ebovaniyam, отговорен за всичко това не може да е технически (и не трябва!). Напълно премахване на отговорността от страна на потребителя - не е правилна, тъй като крайната точка на своето - елемент от цялостната система и това води до компрометиране на системата за компромис.
В раздел 2.5 представяме усилващ механизъм за удостоверяване на банката на клиента, мисля, че на сертификата е достатъчен (виж по-горе). Ако искате да продавате повече, и това е - няма да е излишно.
P 2.6 е посветен ralichnye ексцентричности банки за това как те удостоверяване клиента с помощта на схемата и при смяна на данни за удостоверяване. Какво в семейството, както се казва, има черна овца. Trebovniya от Visa за удостоверяване по изпълнение на 3DS трябва да решат проблема.
P 2.7 - за поверителност. За този вечен баланс между сигурност и поверителност:
1. За аутсорсинг. Ако има обективни причини за моя трансфер на данни с възложители възложители и се задължава да защитава данните ми не е по-лошо от банка, риск за мен? Аз наскоро отидох до КАТ за помощ на инцидент има на входа на моите паспортни данни, записани в дневника. Аз съм загрижен за това списание по който го чете, тъй като се използва и т.н. Освен това, подобно списание е практически навсякъде. И ние претакане главата ми за това какво да се каже, Roskomnadzor и служба за сигурност на Федерална, когато FZ-152 - никъде не работи.
2. В края на краищата, аз, като предмет може да бъде потвърден само от личните ми данни. Нямам нищо друго.
Съдържание на твърдо вещество:
1. Очаквайте от изискването за виза за прилагане на протокол за удостоверяване.
2. Банките очакват крайна точка на изискванията за безопасност, както и (в някои места се виждаха, но Visa трябва да задължи тези искания, за да готвя).
3. механизми Какво удостоверяване са посочени за изпълнението на банките - отдясно, само с изискванията за визи и разделение на отговорностите.
Свързани статии