SS
там же много реальных технических проблем - размер, как управлять, как подзаряжать, как с сетью
Size: a a a
2020 July 25
O
правда ценность подобных сервисов не в том что они токены умеют генерировать, а в юристах
Интересно, от какого типа атак такие сервисы реально помогают
A
правда ценность подобных сервисов не в том что они токены умеют генерировать, а в юристах
Можешь развернуть мысль про юристов?
A
там же много реальных технических проблем - размер, как управлять, как подзаряжать, как с сетью
Подзаряжать - прикуриватель
O
Можешь развернуть мысль про юристов?
Так тут вроде понятно, если что то случилось, это не мы, это вот сервис. А этот сервис уже отбивается от юридических претензий
RK
Интересно, от какого типа атак такие сервисы реально помогают
Аудиторских
O
Аудиторских
Это как раз понятно (мы имеем PCI DSS) и такие вопросы понятны. Но если убрать "бумажную защиту". От реальных проблем это защищает?
IV
Можешь развернуть мысль про юристов?
Компании не хранят у себя PII, чтобы избавиться от головняка если (когда) данные утекут. Сертифицированные провайдеры, которые полностью прошли аудит PCI или HIPAA полностью берут на себя риски связанные с утечками. Поэтому эти сервисы обычно очень дорогие
IV
Это как раз понятно (мы имеем PCI DSS) и такие вопросы понятны. Но если убрать "бумажную защиту". От реальных проблем это защищает?
в дебаг логах нет персональных данных, уже хорошо
RK
Это как раз понятно (мы имеем PCI DSS) и такие вопросы понятны. Но если убрать "бумажную защиту". От реальных проблем это защищает?
Требования режимов же не всегда направлены на улучшение безопасности
A
Компании не хранят у себя PII, чтобы избавиться от головняка если (когда) данные утекут. Сертифицированные провайдеры, которые полностью прошли аудит PCI или HIPAA полностью берут на себя риски связанные с утечками. Поэтому эти сервисы обычно очень дорогие
Угу, вообще этот обмен на токены выглядит так что у них стоит редис и они по токену выдают значение
A
в дебаг логах нет персональных данных, уже хорошо
Давай логировать исходящие от нас json, или выступают как прокси?
O
в дебаг логах нет персональных данных, уже хорошо
Хм, да, это интересно. Но никак не защищает от того что кто-то может методично копировать данные из интерфейса, или тот кто имеет доступ к проду через API будет собирать данные
O
Давай логировать исходящие от нас json, или выступают как прокси?
И юзер же вводит данные в форму и они пролетают через наш код. Не зря же требуют data flow diagram
IV
Угу, вообще этот обмен на токены выглядит так что у них стоит редис и они по токену выдают значение
есть разные варианты реализации. Например, в heathcare поставщик данных передает их 3rd party, которые делают токенезацию и анонимизацию. Так же выкидывают записи о пациентах для zip кодов с населением меньше N человек и так далее
IV
И юзер же вводит данные в форму и они пролетают через наш код. Не зря же требуют data flow diagram
здесь есть очень интересные варианты… некоторые провайдеры требуют чтобы ты встроил их форму к себе и от них ты получишь только токен. Из публичных примеров можно привести Stripe… Хоть поле и на твоей форме у тебя нет (простой) возможности с него получить данные карты
O
здесь есть очень интересные варианты… некоторые провайдеры требуют чтобы ты встроил их форму к себе и от них ты получишь только токен. Из публичных примеров можно привести Stripe… Хоть поле и на твоей форме у тебя нет (простой) возможности с него получить данные карты
Это да, как раз история про PCI DSS, пока его нет, все что ты получаешь, это их iframe
IV
главный риск что утечет база изнутри. сколько было примеров когда для маркетинговых партнерам передавали CVS через публичный S3
A
главный риск что утечет база изнутри. сколько было примеров когда для маркетинговых партнерам передавали CVS через публичный S3
Так у нас же только токены, разве нет?
IV
когда токены это не так страшно